tag:theconversation.com,2011:/us/topics/donnees-personnelles-24311/articlesdonnées personnelles – The Conversation2024-03-25T16:56:04Ztag:theconversation.com,2011:article/2253722024-03-25T16:56:04Z2024-03-25T16:56:04ZLa lente convalescence des hôpitaux victimes de cyberattaques<p>La pandémie a entraîné une accélération significative de la numérisation des établissements de santé, une tendance déjà bien établie. Malgré tout et contrairement aux secteurs de la distribution ou de la finance où la numérisation est plus avancée, celle de la santé demeure relativement récente, avec des systèmes d’information encore vulnérables aux cyberattaques. En conséquence, le <a href="https://healthcaredatainstitute.com/2023/07/11/une-premiere-analyse-de-limpact-des-cyberattaques-sur-les-etablissements-de-soin/">secteur de la santé s’est classé au troisième rang des domaines les plus touchés par les attaques informatiques</a> dans le monde au cours du premier trimestre de 2023.</p>
<p>Les failles ainsi exploitées permettent aux attaquants de pénétrer les systèmes et les équipements médicaux, d’acquérir le contrôle des données hospitalières, de modifier les paramètres opérationnels des dispositifs existants, de déclencher des dysfonctionnements et d’occasionner de sérieux dommages aux patients.</p>
<p><iframe id="cqEV2" class="tc-infographic-datawrapper" src="https://datawrapper.dwcdn.net/cqEV2/1/" height="400px" width="100%" style="border: none" frameborder="0"></iframe></p>
<p>Or, de plus en plus de données de santé sont aujourd’hui produites et disponibles. Selon une étude d’OpinionWay datant de juillet 2020, il a par exemple été constaté que 70 % des Français avaient utilisé des services de prise de rendez-vous en ligne, tandis que 66 % d’entre eux avaient consulté ou reçu des résultats médicaux de manière numérique. Parmi les patients ayant eu recours à la téléconsultation pour la première fois pendant la pandémie, 53 % avaient déclaré être satisfaits de ces nouvelles modalités, avec un <a href="https://www.opinion-way.com/fr/sondage-d-opinion/sondages-publies/marketing/sante/opinionway-pour-les-assises-citoyennes-du-numerique-en-sante-les-francais-et-le-virage-numerique-en-sante-novembre-2020.html">taux de satisfaction atteignant 91 %</a>.</p>
<h2>Une panoplie de techniques</h2>
<p>Plusieurs techniques sont utilisées pour permettre aux cybercriminels d’accéder aux données des établissements de santé visés.</p>
<p>Parmi celles-ci, on peut citer les attaques par déni de service, également connues sous l’acronyme DDoS (<em>Distributed Denial-of-Service</em>), qui représentent près de la <a href="https://www.ponemon.org/research/ponemon-library/security/sixth-annual-benchmark-study-on-privacy-security-of-healthcare-data.html">moitié des attaques recensées dans le monde</a>. Cette méthode consiste à submerger le réseau informatique de l’établissement ciblé avec un grand nombre de requêtes simultanées, dans le but de rendre son système d’information hospitalier indisponible. Les attaques DDoS, en perturbant la vitesse et l’efficacité des services, ont un impact durable sur la réputation de l’établissement visé et entraînent d’importantes pertes financières.</p>
<p>Après le <a href="https://www.lemondeinformatique.fr/actualites/lire-le-chru-de-brest-perturbe-par-une-cyberattaque-89796.html">centre hospitalier régional de Brest</a> (Finistère) en mars 2023, c’est dans la nuit du 14 au 15 janvier 2024 que le <a href="https://www.lemondeinformatique.fr/actualites/lire-le-chu-de-nantes-vise-par-une-attaque-ddos-92684.html">centre hospitalier universitaire (CHU) de Nantes</a> (Loire-Atlantique) a été victime à son tour d’une attaque de ce type bloquant notamment le réseau Internet de l’établissement, l’envoi et la réception d’e-mails, ainsi que l’accès aux outils de gestion du CHU depuis l’extérieur (prise de rendez-vous sur le site de l’établissement via Doctolib notamment).</p>
<p>Une autre menace significative pour les établissements de santé réside dans les attaques de <em>phishing</em> (ou hameçonnage). Dans ces situations, les cybercriminels envoient des e-mails ou des messages trompeurs dans le but de persuader les utilisateurs de divulguer des informations personnelles en cliquant sur des liens malveillants. Ces attaques peuvent être exploitées pour accéder directement aux données personnelles et médicales des patients ou pour introduire des logiciels délétères dans le système d’information de l’établissement. Les attaques de phishing sont souvent sophistiquées, à partir de messages qui semblent <a href="https://pubmed.ncbi.nlm.nih.gov/32239357/">provenir de sources fiables en lien vers des sites apparemment légitimes</a>.</p>
<p>Aux États-Unis, cette méthode représente près de 80 % des attaques informatiques signalées, ce qui en fait la technique la plus répandue et celle dont la croissance est la plus marquée, passant de 32 % du total des attaques en 2016 à 57 % en 2020.</p>
<p>Le 22 août 2023, le <a href="https://www.publicsenat.fr/actualites/non-classe/cyberattaque-de-l-hopital-de-corbeil-essonnes-lockbit-contribue-a-attaquer-les">centre hospitalier de Corbeil-Essonnes</a> (Essonne) avait vu son fonctionnement fortement perturbé par une cyberattaque de ce type qui avait désorganisé son activité durant plusieurs semaines (dégradations de services et reports d’opérations notamment). À la suite de l’attaque, une demande de 10 millions de dollars avait été exigée par le groupe Lockbit, collectif de hackers d’origine russe, coutumiers du fait.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1562126150062804994"}"></div></p>
<p>Autre pratique répandue : le <em>ransomware</em>. Cette méthode implique le chiffrement des données des systèmes informatiques de l’établissement à l’aide de logiciels malveillants. Les cybercriminels exigent ensuite une rançon en échange d’une clé de déchiffrement nécessaire pour récupérer les données verrouillées. Ces attaques sont particulièrement inquiétantes pour les établissements de santé, car elles entraînent la <a href="https://data.europa.eu/doi/10.2824/28801">perte de données cruciales et des interruptions de service préjudiciables</a>.</p>
<p>Initialement répandues aux États-Unis, où elles sont devenues un commerce très rentable pour les cybercriminels, ces attaques ont commencé à se propager en Europe, à l’instar du <a href="https://www.lemondeinformatique.fr/actualites/lire-le-si-du-chu-de-rouen-infecte-par-un-cryptovirus-revit-progressivement-77099.html">CHU de Rouen (Seine-Maritime) en novembre 2019</a>. Si les établissements de santé publics en Europe sont souvent incapables de payer les rançons exigées, certains établissements privés, ayant rapidement retrouvé un fonctionnement normal, laissent supposer avoir versé aux hackers la rançon demandée, encourageant de ce fait les criminels à perpétuer ce type d’attaques.</p>
<h2>Une facture salée à Dax</h2>
<p>L’une des cyberattaques par <em>ransomware</em> les plus marquantes de ces dernières années a frappé le Centre hospitalier de Dax, 10 février 2021, lorsque l’ensemble de son système d’information hospitalier (SIH) a été mis hors service. Les conséquences de cette attaque, qui a fait l’objet de <a href="https://www.cairn.info/revue-securite-globale-2023-3-page-147.htm">nos récentes recherches</a>, ont été désastreuses pour les opérations de l’hôpital, entraînant plusieurs semaines de perturbations, tandis que la résolution complète du problème a nécessité plusieurs mois de travail pour les réparations.</p>
<p>Le jour de l’attaque, toutes les connexions, qu’elles soient internes ou externes, ont été complètement interrompues, y compris les lignes téléphoniques et le système informatique de l’établissement. Les accès informatiques ont été également bloqués, ce qui a rendu impossible toute forme de communication habituelle (appels téléphoniques, e-mails ou accès au site web de l’établissement notamment).</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1359555436983308296"}"></div></p>
<p>Il était, par ailleurs, impossible de se connecter aux serveurs en raison du risque de compromission des comptes. Une sauvegarde préalable sur bandes a heureusement permis de récupérer les données informatisées de nombreux patients, bien que ces données ne puissent être consultées qu’en lecture seule sur un poste dédié, sans possibilité de mise à jour.</p>
<p>Après plus d’un an, les <a href="https://www.techopital.com/story?ID=6255">coûts totaux de cette attaque ont été estimés par l’établissement à plus 2,3 millions d’euros</a>, intégralement pris en charge par l’Agence régionale de santé (ARS) de Nouvelle-Aquitaine. Les coûts induits prennent en compte les investissements matériels nécessaires à la reconstruction du réseau (174 000 euros), des prestations de cybersécurité et de réinstallation des systèmes (546 000 euros), la sous-traitance de prestations de biologie médicale (9 000 euros), des coûts de formation et d’information internes, les équipes de renforts mobilisées et les heures supplémentaires induites (1,48 million d’euros) ou encore les pertes de recettes commerciales de l’établissement (143 000 euros).</p>
<p><iframe id="PHRtG" class="tc-infographic-datawrapper" src="https://datawrapper.dwcdn.net/PHRtG/1/" height="400px" width="100%" style="border: none" frameborder="0"></iframe></p>
<p>L’incident survenu au centre hospitalier de Dax illustre les coûts financiers significatifs auxquels un hôpital est confronté lorsqu’il est victime d’une attaque. Comme cela a été le cas à Dax ainsi <a href="https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaque-au-centre-hospitalier-de-versailles-une-rancon-a-ete-demandee_5524872.html">qu’à Versailles (Yvelines) à la fin de l’année 2022</a>, l’arrêt des opérations causé par une immobilisation des systèmes informatiques peut entraîner des pertes d’activité pendant des semaines, voire des mois.</p>
<h2>Un risque pour le patient</h2>
<p>Les dépenses nécessaires à la reconstruction d’un système informatique plus sécurisé doivent être également prises en compte, augmentant d’autant la facture d’ensemble d’une cyberattaque sur les établissements de soins. Selon les experts, ces travaux de reconstruction peuvent s’étaler sur près d’un an et coûter <a href="https://www.enisa.europa.eu/publications/cyber-security-and-resilience-for-smart-hospitals">entre 3 et 5 millions d’euros</a>. Bien que certaines parties de ces dépenses puissent, en France, être prises en charge par des organismes tels que les Agences Régionales de Santé (ARS), une telle assistance est loin d’être permise partout dans le monde.</p>
<p>Pire encore, le risque encouru par les patients : une perte de contrôle des dispositifs médicaux, une altération des diagnostics ou des traitements prescrits, ou encore des erreurs dans leur administration peuvent avoir des conséquences dramatiques, voire fatales, pour les patients hospitalisés.</p><img src="https://counter.theconversation.com/content/225372/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Frédéric Jallat ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les perturbations informatiques liées aux phishing, ransomware ou autres dénis de services engendrent d’importants coûts financiers pour les établissements de santé.Frédéric Jallat, Professor of Marketing and Academic Director of MSc. in Biopharmaceutical Management, ESCP Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2260932024-03-20T13:26:40Z2024-03-20T13:26:40ZTikTok représente-t-il une menace pour la sécurité des Canadiens ?<figure><img src="https://images.theconversation.com/files/582615/original/file-20240315-30-xv5fae.jpg?ixlib=rb-1.1.0&rect=0%2C65%2C5472%2C3571&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">TikTok ne représente pas plus une menace pour la démocratie que les autres plateformes de médias sociaux.</span> <span class="attribution"><span class="source">(Shutterstock)</span></span></figcaption></figure><p>Alors que la Chambre des représentants a adopté le 13 mars une proposition de loi qui prévoit <a href="https://ici.radio-canada.ca/ohdio/premiere/emissions/point-du-jour/segments/entrevue/485186/tiktok-application-mobile-renseignement-informations-privees-risque">l’interdiction de TikTok aux États-Unis</a>, les inquiétudes concernant les menaces que TikTok fait peser sur la vie privée et la liberté des personnes ont de nouveau été soulevées. </p>
<p>De son côté, le gouvernement fédéral du Canada a révélé qu’il avait commencé à enquêter il y a plusieurs mois pour déterminer si le contrôle étranger de l’application <a href="https://ici.radio-canada.ca/nouvelle/2057224/ottawa-canada-tiktok-securite-nationale">constituait une menace pour la sécurité nationale</a>. </p>
<p>Les représentants du gouvernement canadien considèrent que TikTok représente une menace pour les Canadiens de deux manières : en violant leur vie privée par la collecte d’un grand nombre de données ; en sabotant la démocratie par le biais de la désinformation et de la manipulation.</p>
<p>Ces menaces sont-elles théoriques ou réelles ? Existe-t-il des preuves étayant les craintes que le gouvernement chinois exerce un contrôle sur <a href="https://www.bloomberg.com/profile/company/1774397D:CH">ByteDance Ltd</a>, l’entreprise basée à Pékin qui possède TikTok ?</p>
<p>Il y a de bonnes raisons de penser que TikTok peut constituer une menace pour notre vie privée, mais pas pour notre démocratie. La plate-forme collecte peut-être trop de données, mais les craintes que la Chine utilise TikTok pour nous désinformer ou nous manipuler à des fins politiques sont injustifiées. </p>
<p>La Chine n’a pas besoin de contrôler TikTok pour influencer nos élections. Elle peut le faire assez facilement sans cette application. Les efforts actuels du Canada pour minimiser la menace que TikTok représente pour la sécurité nationale ne neutraliseront pas la menace que les médias sociaux font peser sur la démocratie.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/z63aqNZZm4k?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Radio-Canada se penche sur l’interdiction potentielle de TikTok.</span></figcaption>
</figure>
<h2>Les préoccupations en matière de protection de la vie privée sont bien réelles</h2>
<p>Mais TikTok représente une menace pour notre vie privée. Les régulateurs européens ont notamment <a href="https://www.priv.gc.ca/fr/protection-de-la-vie-privee-et-transparence-au-commissariat/divulgation-proactive/cpvp-parl-bp/ethi_20231025/fe_20231025/">infligé des amendes à TikTok pour avoir collecté des données</a> auprès d’utilisateurs trop jeunes pour donner un consentement valable. Ils ont aussi condamné l’application pour avoir utilisé les données privées à mauvais escient et pour avoir « incité » les utilisateurs, par le biais de leurs paramètres par défaut, à adopter un comportement portant atteinte à la vie privée des personnes. </p>
<p>Des recours collectifs au Canada et aux États-Unis ont présenté un <a href="https://www.priv.gc.ca/fr/protection-de-la-vie-privee-et-transparence-au-commissariat/divulgation-proactive/cpvp-parl-bp/ethi_20231025/fe_20231025/">argumentaire similaire</a>.</p>
<p>Les experts en cybersécurité ont <a href="https://www.cbc.ca/news/canada/canada-tiktok-western-scrutiny-1.6760037">mis en garde contre le caractère invasif de l’application</a>, car elle suit la localisation de l’utilisateur, les messages qu’il reçoit et les réseaux auxquels il accède. Les autorisations sont enfouies dans les paramètres de l’application, mais la <a href="https://www.forbes.com/sites/emilsayegh/2022/11/09/tiktok-users-are-bleeding-data/">plupart des utilisateurs ne sont pas au courant de leur existence</a> ou ne prennent pas la peine de les vérifier.</p>
<p>Fin mars, le Commissaire à la protection de la vie privée du Canada et ses trois homologues provinciaux devraient <a href="https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2023/an_230223/">présenter un rapport d’enquête</a> sur la manière dont TikTok recueille et utilise nos données. La Commission recommandera très probablement de suivre l’exemple de l’Europe en adoptant une législation exigeant une plus grande transparence des données collectées par TikTok et des restrictions supplémentaires quant à leur utilisation.</p>
<h2>Craintes d’ingérence de la Chine</h2>
<p>Le 1<sup>er</sup> mars, le gouvernement fédéral a publié une nouvelle <a href="https://www.canada.ca/fr/innovation-sciences-developpement-economique/nouvelles/2024/03/le-canada-resserre-les-lignes-directrices-sur-les-investissements-etrangers-dans-le-secteur-des-medias-numeriques-interactifs.html">politique selon laquelle les plates-formes étrangères</a>, comme TikTok, feraient l’objet d’un « examen approfondi » en vertu des pouvoirs conférés par la <a href="https://laws-lois.justice.gc.ca/eng/acts/I-21.8/index.html">loi sur l’investissement au Canada</a>. En vertu de cette loi, le gouvernement peut imposer des conditions aux investisseurs ou entreprises étrangers lorsqu’il existe des « motifs raisonnables de croire » que leur présence au Canada « pourrait porter atteinte à la sécurité nationale ».</p>
<p>Les ministres ont été <a href="https://www.canadianlawyermag.com/practice-areas/crossborder/federal-government-issues-additional-directions-for-interactive-digital-media/384566">clairs et directs quant à leurs préoccupations</a> : « des acteurs hostiles soutenus ou influencés par l’État pourraient tenter de tirer parti des investissements étrangers dans le secteur des médias numériques interactifs pour diffuser de la désinformation et manipuler l’information ».</p>
<p><a href="https://www.cbc.ca/news/canada/canada-tiktok-western-scrutiny-1.6760037">Vingt-six pour cent des Canadiens utilisent désormais TikTok</a>. La filiale canadienne de TikTok pourrait-elle prendre des mesures pour empêcher le gouvernement chinois de se livrer à la désinformation ou à la manipulation ?</p>
<h2>Pourquoi les inquiétudes sont injustifiées</h2>
<p>En février, la direction du renseignement national des États-Unis a publié une <a href="https://www.dni.gov/files/ODNI/documents/assessments/ATA-2024-Unclassified-Report.pdf">évaluation des menaces</a>, révélant que des comptes TikTok gérés par un « organe de propagande » du gouvernement chinois « ont ciblé des candidats des deux partis politiques pendant le cycle électoral américain de mi-mandat en 2022 ».</p>
<p>Cependant, comme l’a fait remarquer un commentateur dans le <em>New York Times</em>, le rapport du renseignement national ne dit pas <a href="https://www.nytimes.com/2024/03/14/opinion/tiktok-ban-house-vote.html">si les algorithmes de TikTok ont favorisé ces comptes malveillants</a>. La Chine a peut-être utilisé TikTok pour désinformer et manipuler, mais elle n’avait pas besoin de le faire en dirigeant ByteDance.</p>
<p>Une étude réalisée en 2021 par le Citizen Lab de l’université de Toronto a examiné en profondeur le code de TikTok et ses capacités de collecte de données. Ses conclusions confirment que <a href="https://citizenlab.ca/2021/03/tiktok-vs-douyin-security-privacy-analysis/">TikTok n’est pas plus invasif</a> que Facebook, Instagram ou d’autres plates-formes de médias sociaux. </p>
<p>L’étude a révélé que TikTok et sa version chinoise, Douyin, « ne semblent pas présenter de comportements ouvertement malveillants similaires à ceux que l’on trouve dans les logiciels malveillants ». Bien que Douyin contienne « des caractéristiques qui posent des problèmes de confidentialité et de sécurité, telles que le chargement de code dynamique et la censure des recherches côté serveur », l’étude révèle que « TikTok ne contient pas ces caractéristiques ».</p>
<p>Cela ne signifie pas que la Chine n’est pas en mesure d’ordonner à ByteDance de faire des choses qui pourraient nuire aux Canadiens. Mais cela confirme l’idée que la Chine n’a pas besoin de mobiliser ByteDance pour le faire ; un agent du gouvernement chinois (ou toute autre personne) peut facilement le faire en se faisant passer pour un utilisateur ordinaire.</p>
<p>En bref, les craintes d’ingérence de la Chine dans les élections canadiennes et américaines peuvent être justifiées. Mais tout comme la Russie a pu utiliser de faux comptes sur Facebook pour interférer dans <a href="https://www.intelligence.senate.gov/sites/default/files/documents/Report_Volume2.pdf">l’élection présidentielle américaine de 2016</a>, la Chine peut nous désinformer et nous manipuler en utilisant n’importe quel autre des médias sociaux, contre nous. </p>
<p>Cela met en évidence la véritable menace qui pèse sur notre démocratie : les médias sociaux que nous ne pouvons pas contrôler.</p><img src="https://counter.theconversation.com/content/226093/count.gif" alt="La Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Robert Diab ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Environ le quart des Canadiens utilisent TikTok. Réglementer l’application au Canada est-il la meilleure approche pour éviter toute influence politique extérieure ?Robert Diab, Professor, Faculty of Law, Thompson Rivers UniversityLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2208852024-01-24T17:17:55Z2024-01-24T17:17:55ZL’IA générative pourrait aussi servir à exploiter des données personnelles en toute sécurité : la piste des données synthétiques<figure><img src="https://images.theconversation.com/files/570019/original/file-20240118-23-4ekwv9.jpg?ixlib=rb-1.1.0&rect=38%2C38%2C5066%2C3413&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Les données synthétiques sont semblables aux vraies, sans être de vraies données. Elles pourraient limiter les risques de ré-identification de patients par exemple.</span> <span class="attribution"><a class="source" href="https://unsplash.com/fr/photos/homme-assis-sur-un-terrain-dherbe-brune-jouant-avec-de-la-fumee-PUvPZckRnOg">Aziz Acharki, Unsplash</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>Comment réagiriez-vous si ChatGPT dévoilait votre numéro de téléphone et votre adresse privée ?</p>
<p>Parmi les données présentes sur le Web sur lesquelles le modèle de langage derrière ChatGPT s’entraîne, certaines informations sont personnelles et ne sont pas censées être révélées. Pourtant, ce risque est bien réel, comme l’a démontré une équipe de chercheurs, en <a href="https://arxiv.org/pdf/2311.17035.pdf">poussant ChatGPT à révéler une grande quantité de données personnelles à partir d’une simple requête</a>.</p>
<p>Pour garantir la confidentialité des données qui servent à entraîner les systèmes d’intelligence artificielle, une piste est d’utiliser des « données synthétiques » : des données fictives générées artificiellement qui conservent des propriétés statistiques du jeu de données réelles qu’elles cherchent à imiter et remplacer.</p>
<p>Avec des données synthétiques, on peut entraîner un système de classification ou un agent conversationnel comme ChatGPT, tester des logiciels, ou partager les données sans souci de confidentialité : des <a href="https://documentation-snds.health-data-hub.fr/snds/formation_snds/donnees_synthetiques/">données synthétiques reproduisent par exemple les données du système national de données de santé</a>.</p>
<p>Certaines des entreprises présentes sur le marché de la génération de données synthétiques, ainsi qu’une partie de la littérature académique, <a href="https://www.itforbusiness.fr/les-donnees-synthetiques-primordiales-pour-la-nouvelle-ere-de-ia-48026">avancent même qu’il s’agit de données réellement anonymes</a>. Ce terme est fort, car il sous-entend qu’on ne peut pas remonter aux données réelles – et donc, à votre numéro de sécurité sociale ou de téléphone.</p>
<p>En réalité, la synthèse de données possède des <a href="https://www.usenix.org/system/files/sec22summer_stadler.pdf">faiblesses</a> et les garanties mises en avant <a href="https://hal.science/hal-04228115/">font encore</a> l’<a href="https://files.inria.fr/ipop/">objet d’études</a>.</p>
<h2>Pourquoi tant d’engouement pour les données synthétiques ?</h2>
<p>La synthèse de données permettrait de publier des données représentatives des données réelles d’origine mais non identifiables.</p>
<p>Par exemple, des données de recensement de la population peuvent être extrêmement utiles à des fins de statistiques… mais elles rassemblent des informations sur les individus qui permettent leur réidentification : leur publication en l’état n’est donc pas permise par le <a href="https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on">RGPD (Règlement général sur la protection des données)</a>.</p>
<p>Dans le cas de données personnelles ou de données soumises à propriété intellectuelle, ce procédé permettrait aussi de s’affranchir du cadre réglementaire qui limite souvent leur publication ou leur utilisation.</p>
<p>Il permettrait également de réaliser des expérimentations qui auraient demandé de coûteuses collectes de données, par exemple pour <a href="https://waymo.com/blog/2022/12/waymos-collision-avoidance-testing/">entraîner des voitures autonomes à éviter les collisions</a>.</p>
<p>Enfin, les données synthétiques ne nécessitent pas de nettoyage des données. Cet atout est particulièrement important pour l’entraînement de modèles d’IA, où la qualité de l’annotation des données a un impact sur les performances du modèle.</p>
<p>Pour ces raisons, fin 2022, le marché mondial de la génération de données synthétiques avait déjà généré 163,8 millions de dollars et devrait connaître une <a href="https://www.grandviewresearch.com/industry-analysis/synthetic-data-generation-market-report">croissance de 35 % de 2023 à 2030</a>. L’adoption pourrait être rapide et massive, <a href="https://www.actuia.com/actualite/rapport-gartner-les-donnees-synthetiques-majoritairement-utilisees-pout-lentrainement-de-lia/">et représenter selon certaines études jusqu’à 60 % des données utilisées pour l’entraînement des systèmes d’IA en 2024</a>.</p>
<p>La confidentialité est l’un des objectifs de la génération de données synthétiques, mais ce n’est pas le seul. Les acteurs du domaine entendent également profiter de l’exhaustivité des données synthétiques – qui peuvent être générées en quantité quasi illimitée et reproduire toutes les simulations envisagées, mais aussi permettre d’avoir des données sur des cas particulièrement difficiles avec des données réelles (comme la détection d’armes sur une image, ou une simulation de trafic routier avec des conditions bien particulières).</p>
<h2>Comment génère-t-on des données synthétiques ?</h2>
<p>Imaginons que nous voulons générer des données synthétiques comme l’âge et le salaire d’une population. On modélise d’abord la relation entre ces deux variables, puis on exploite cette relation pour créer artificiellement des données satisfaisant les propriétés statistiques des données d’origine.</p>
<p>Si la synthèse de données était initialement basée sur des méthodes statistiques, les techniques sont aujourd’hui plus élaborées, afin de synthétiser des données tabulaires ou temporelles – voire, grâce à des IA génératives, des données de type texte, images, voix et vidéos.</p>
<p>De fait, les techniques utilisées pour synthétiser des données à des buts de confidentialité sont très similaires à celles utilisées par les IA génératives comme ChatGPT pour le texte, ou StableDiffusion pour les images. En revanche, une contrainte supplémentaire liée à la reproduction de la distribution statistique des données source est imposée aux outils afin d’assurer la confidentialité.</p>
<p>Par exemple, les <a href="https://theconversation.com/les-deepfakes-ces-fausses-videos-creees-pour-nous-influencer-131783">réseaux antagonistes génératifs (ou GANs pour <em>generative adversarial networks</em>) peuvent être utilisés pour créer des deepfakes</a>.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/568606/original/file-20240110-27-3vh8pz.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="schéma d’un réseau GAN" src="https://images.theconversation.com/files/568606/original/file-20240110-27-3vh8pz.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/568606/original/file-20240110-27-3vh8pz.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=337&fit=crop&dpr=1 600w, https://images.theconversation.com/files/568606/original/file-20240110-27-3vh8pz.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=337&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/568606/original/file-20240110-27-3vh8pz.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=337&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/568606/original/file-20240110-27-3vh8pz.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=424&fit=crop&dpr=1 754w, https://images.theconversation.com/files/568606/original/file-20240110-27-3vh8pz.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=424&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/568606/original/file-20240110-27-3vh8pz.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=424&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Fonctionnement schématique d’un réseau antagoniste génératif, ou GAN : l’idée de base des GANs est d’opposer deux réseaux de neurones distincts, le générateur et le discriminateur. Tandis que le générateur crée de nouvelles données, le discriminateur évalue la qualité de ces données. Les deux réseaux s’entraînent en boucle, améliorant ainsi leurs performances respectives. Le processus se termine lorsque le discriminateur ne parvient plus à discerner des données réelles de celles issues du générateur.</span>
<span class="attribution"><a class="source" href="https://theconversation.com/competition-entre-reseaux-de-neurones-artificiels-pour-creer-des-images-realistes-110005">Vincent Barra, The Conversation</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/peut-on-detecter-automatiquement-les-deepfakes-212573">Peut-on détecter automatiquement les deepfakes ?</a>
</strong>
</em>
</p>
<hr>
<p>De leur côté, les <a href="https://theconversation.com/comment-fonctionne-chatgpt-decrypter-son-nom-pour-comprendre-les-modeles-de-langage-206788">auto-encoders variationnels</a> (ou VAEs), compressent les données d’origine dans un espace de dimension inférieure et tentent de modéliser la distribution de ces données dans cet espace. Des points aléatoires sont ensuite tirés dans cette distribution et décompressés afin de créer de nouvelles données fidèles aux données d’origine.</p>
<div style="position: relative; width: 100%; height: 0; padding-top: 56.2500%; padding-bottom: 0; box-shadow: 02px 8px 0 rgba(63,69,81,0.16); margin-top: 1.6em; margin-bottom: 0.9em; overflow: hidden; border-radius: 8px; will-change: transform;">
<iframe loading="lazy" style="position: absolute; width: 100%; height: 100%; top: 0; left: 0; border: none; padding: 0;margin: 0;" src="https://www.canva.com/design/DAF6DcmCy20/view?embed" allowfullscreen="allowfullscreen" allow="fullscreen" width="100%" height="400"></iframe>
</div>
<p><a href="https:/ ;/ ;www.canva.com/ ;design/ ;DAF6DcmCy20/ ;view ?utm_content=DAF6DcmCy20&utm_campaign=designshare&utm_medium=embeds&utm_source=link" target="_blank" rel="noopener"></a></p>
<p>Il existe <a href="https://arxiv.org/pdf/2302.04062.pdf">d’autres méthodes de génération</a>. Le choix de la méthode dépend des données sources à imiter et de leur complexité.</p>
<h2>Données réelles vs données synthétiques : trouver les différences</h2>
<p>La modélisation des données d’origine, sur laquelle repose le procédé de synthèse, peut être imparfaite, erronée ou incomplète. Dans ce cas, les données de synthèse ne reproduiront que partiellement les informations d’origine : on parle d’une « perte d’utilité ».</p>
<p>Au-delà d’une perte en performance, un générateur de données mal entraîné ou biaisé peut aussi avoir un impact sur des groupes minoritaires, sous représentés dans l’ensemble de données d’entraînement, et par conséquent moins bien assimilés par le modèle.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/569562/original/file-20240116-21-jzki16.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/569562/original/file-20240116-21-jzki16.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/569562/original/file-20240116-21-jzki16.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=243&fit=crop&dpr=1 600w, https://images.theconversation.com/files/569562/original/file-20240116-21-jzki16.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=243&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/569562/original/file-20240116-21-jzki16.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=243&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/569562/original/file-20240116-21-jzki16.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=305&fit=crop&dpr=1 754w, https://images.theconversation.com/files/569562/original/file-20240116-21-jzki16.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=305&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/569562/original/file-20240116-21-jzki16.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=305&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Exemple de génération de données synthétiques fidèles aux données d’entraînement à gauche, et qui ne reproduisent pas fidèlement les données d’entraînement à droite. Les données sont représentées ici par une analyse en « composantes principales », un type d’analyse statistique matricielle très répandu dans le monde des données.</span>
<span class="attribution"><span class="source">Jill-Jênn Vie et Antoine Boutet, traduite par les auteurs</span>, <span class="license">Fourni par l'auteur</span></span>
</figcaption>
</figure>
<p>La perte en utilité est un risque d’autant plus inquiétant que seul l’organisme à la source de la synthèse est en mesure de l’estimer, laissant les utilisateurs des données dans l’illusion que les données correspondent à leurs attentes.</p>
<h2>Données synthétiques vs données anonymes : quelle garantie en termes de confidentialité ?</h2>
<p>Lorsque le partage de données personnelles n’est pas permis, des <a href="https://theconversation.com/comment-anonymiser-des-donnees-personnelles-199922">données personnelles doivent être anonymisées avant d’être partagées</a>. Toutefois l’anonymisation est souvent difficile techniquement, voire même impossible pour certains jeux de données.</p>
<p>Les données synthétiques se placent alors en remplacement des données anonymisées. Cependant, comme pour les données anonymisées, le <a href="https://www.usenix.org/system/files/sec22summer_stadler.pdf">risque zéro n’existe pas</a>.</p>
<div style="position: relative; width: 100%; height: 0; padding-top: 56.2500%; padding-bottom: 0; box-shadow: 02px 8px 0 rgba(63,69,81,0.16); margin-top: 1.6em; margin-bottom: 0.9em; overflow: hidden; border-radius: 8px; will-change: transform;">
<iframe loading="lazy" style="position: absolute; width: 100%; height: 100%; top: 0; left: 0; border: none; padding: 0;margin: 0;" src="https://www.canva.com/design/DAF6Dkdb78Q/view?embed" allowfullscreen="allowfullscreen" allow="fullscreen" width="100%" height="400"></iframe>
</div>
<p><a href="https:/ ;/ ;www.canva.com/ ;design/ ;DAF6Dkdb78Q/ ;view ?utm_content=DAF6Dkdb78Q&utm_campaign=designshare&utm_medium=embeds&utm_source=link" target="_blank" rel="noopener"></a></p>
<p>Bien que l’ensemble des données sources ne soit jamais révélé, les données de synthèse, et parfois le modèle de génération utilisé, peuvent être rendus accessibles et ainsi constituer de nouvelles possibilités d’attaques.</p>
<p>Pour quantifier les risques liés à l’utilisation des données synthétiques, les propriétés de confidentialité sont évaluées de différentes façons :</p>
<ul>
<li><p><a href="https://arxiv.org/pdf/2303.01230.pdf">Possibilité de lier les données synthétiques aux données d’origine</a></p></li>
<li><p><a href="http://www.myhealthmydata.eu/wp-content/uploads/2019/12/A_Baseline_for_Attribute_Disclosure_Risk_in_Synthetic_Data_SBA.pdf">Divulgation d’attributs</a> : quand l’accès aux données synthétiques permet à un attaquant d’inférer de nouvelles informations privées sur un individu spécifique, par exemple la valeur d’un attribut particulier comme la race, l’âge, le revenu, etc.</p></li>
<li><p><a href="https://www.usenix.org/system/files/sec22summer_stadler.pdf">Inférence d’appartenance</a> : par exemple, si un adversaire découvre que les données d’un individu ont été utilisées pour l’entraînement d’un modèle qui prédit le risque de récidive de cancer, il peut en tirer des informations sur la santé de cet individu.</p></li>
</ul>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/569353/original/file-20240115-19-69m20i.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="schéma expliquant le principe d’une attaque par appartenance" src="https://images.theconversation.com/files/569353/original/file-20240115-19-69m20i.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/569353/original/file-20240115-19-69m20i.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=248&fit=crop&dpr=1 600w, https://images.theconversation.com/files/569353/original/file-20240115-19-69m20i.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=248&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/569353/original/file-20240115-19-69m20i.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=248&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/569353/original/file-20240115-19-69m20i.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=312&fit=crop&dpr=1 754w, https://images.theconversation.com/files/569353/original/file-20240115-19-69m20i.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=312&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/569353/original/file-20240115-19-69m20i.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=312&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Principe d’une attaque par appartenance.</span>
<span class="attribution"><a class="source" href="https://arxiv.org/abs/2303.01230">Image de E. De Cristofaro, traduite par les auteurs</a>, <span class="license">Fourni par l'auteur</span></span>
</figcaption>
</figure>
<h2>Des risques non nuls</h2>
<p>Il est important de comprendre que dans la plupart des cas, le risque de fuite d’information n’est pas binaire : la confidentialité n’est ni totale ni nulle.</p>
<p>Le risque est évalué au travers des distributions de probabilité en fonction des hypothèses, des données et des menaces considérées. <a href="https://www.usenix.org/system/files/sec22summer_stadler.pdf">Certaines études</a> ont montré que les données synthétiques offrent peu de protection supplémentaire par rapport aux techniques d’anonymisation. De plus, le compromis entre confidentialité des données d’origine et utilité des données synthétiques est difficile à prévoir.</p>
<p>Certaines mesures techniques permettent de renforcer la confidentialité et de réduire les risques de réidentification. La <a href="https://ora.ox.ac.uk/objects/uuid:82cf05a6-3747-46d9-8893-50d66c08dc8f/download_file?file_format=application%2Fpdf&safe_filename=Jordon_2021_Generative_modelling_for.pdf&type_of_work=Thesis#page=120">confidentialité différentielle</a> notamment est une solution prometteuse, encore à l’étude afin de fournir des garanties suffisantes en termes d’utilité des données, de coût computationnel et d’<a href="https://proceedings.mlr.press/v162/ganev22a/ganev22a.pdf">absence de biais</a>.</p>
<p>Il faut tout de même noter que si les risques liés à l’utilisation de données de synthèse ne sont pas nuls, leur utilisation peut s’avérer avantageuse pour certains scénarios d’utilisation. Par exemple, on peut calibrer la génération pour qu’elle conserve uniquement certaines propriétés des données sources pour limiter les risques.</p>
<p>Comme pour n’importe quelle solution de protection à mettre en place, <a href="https://unece.org/sites/default/files/2022-11/ECECESSTAT20226.pdf">il est toujours nécessaire de faire une analyse de risques pour objectiver ses choix</a>. Et bien sûr, la génération de données synthétiques soulève aussi des enjeux éthiques lorsque la génération des données a comme finalité de construire de <a href="https://www.nature.com/articles/d41586-023-03635-w">fausses informations</a>.</p>
<hr>
<p><em>Le PEPR Cybersécurité et son projet <a href="https://files.inria.fr/ipop/">IPoP</a> (ANR-22-PECY-0002) sont soutenus par l’Agence nationale de la recherche (ANR), qui finance en France la recherche sur projets. Elle a pour mission de soutenir et de promouvoir le développement de recherches fondamentales et finalisées dans toutes les disciplines, et de renforcer le dialogue entre science et société. Pour en savoir plus, consultez le site de l’<a href="https://anr.fr/">ANR</a>.</em></p><img src="https://counter.theconversation.com/content/220885/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Antoine Boutet a reçu des financements de l'ANR.</span></em></p><p class="fine-print"><em><span>Alexis Leautier est membre de la CNIL. Il a précédemment travaillé pour AutoX, une entreprise spécialisée dans les voitures autonomes et concurrente de Waymo (cité dans l'article). </span></em></p>On peut désormais fabriquer de fausses données, ou « données synthétiques », notamment pour plus de confidentialité. Quels sont les avantages, les défis et les risques ?Antoine Boutet, Maitre de conférence, Privacy, IA, au laboratoire CITI, Inria, INSA Lyon – Université de LyonAlexis Leautier, Ingénieur Expert au Laboratoire d'innovation numérique, CNILLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2177072023-11-15T21:18:55Z2023-11-15T21:18:55ZApplis de suivi menstruel et autres innovations « FemTech » : quels enjeux éthiques et sociétaux ?<p><a href="https://theconversation.com/fiabilite-securite-ethique-quels-risques-derriere-les-failles-des-applications-de-suivi-menstruel-190115">Applications de suivi menstruel</a> ou de grossesse, solutions digitales pour accompagner les femmes atteintes d’<a href="https://theconversation.com/fr/topics/endometriose-105698">endométriose</a>… Depuis une dizaine d’années, des technologies numériques dédiées à la <a href="https://theconversation.com/fr/search?q=sant%C3%A9+des+femmes">santé des femmes</a> se développent. </p>
<p>Ces « FemTech » (pour <em>female technologies</em>) ont pour objectif de proposer des services aux femmes en matière de santé et de bien-être, en s’appuyant sur les <a href="https://theconversation.com/fr/topics/nouvelles-technologies-20827">nouvelles technologies</a> (applications santé, appareils connectés, télémédecine, intelligence artificielle, etc.). </p>
<p>Mais elles peuvent aussi interroger quant à l'utilisation qui est faite des données et la protection de la vie privée des femmes qui y ont recours. </p>
<h2>Des failles dans la protection des données personnelles</h2>
<p>La grande majorité des entreprises de la FemTech ont ainsi pour point commun de <a href="https://www.consumerreports.org/privacy/popular-apps-share-intimate-details-about-you-a1849218122/">partager leurs données avec des « tierces parties »</a> (sociétés partenaires extérieures telles que Google, Facebook, Amazon, Apple, etc.), le <a href="https://www.consumerreports.org/electronics-computers/privacy/popular-apps-share-intimate-details-about-you-a1849218122/">plus souvent à l’insu des usagères</a>.</p>
<p>C’est en particulier le cas des applications de suivi menstruel dont les <a href="https://www.hal.inserm.fr/inserm-03798828/document">failles</a> dans les procédures de protection des données personnelles ont été dénoncées. Aux États-Unis, les associations se sont ainsi mobilisées pour inciter les Américaines à désinstaller leurs apps, face au risque de voir utilisées, par les autorités judiciaires, les données des calendriers menstruels pour repérer les femmes qui ont avorté ou qui souhaitent le faire.</p>
<p>Des <a href="https://ieeexplore.ieee.org/document/8786118">publications</a> alertent aussi sur ce que l’on appelle l’Internet des objets connectés (IoT). Elles mettent en garde contre les risques de vols des données personnelles ou de manipulations d’objets depuis l’extérieur (hacking), avec des conséquences pour la santé quand ces objets touchent à l’intégrité physique et mentale.</p>
<p>[<em>Plus de 85 000 lecteurs font confiance aux newsletters de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://memberservices.theconversation.com/newsletters/?nl=france&region=fr">Abonnez-vous aujourd’hui</a>]</p>
<h2>Des technologies qui répondent à une demande des femmes</h2>
<p>Les entreprises de la FemTech sont en plein essor, ce qui rend ces questions autour de la protection des données personnelles et du respect de la vie privée et intime des femmes d'autant plus criantes. </p>
<p>Ainsi, le <a href="https://analytics.dkv.global/FemTech/Teaser-Q2-2022.pdf">marché global des FemTech</a>, estimé à 25 milliards de dollars en 2021, pourrait avoisiner les 100 milliards en 2030. En 2021, on comptait 1 400 start-up de FemTech dans le monde, dont 51 % aux États-Unis, 27 % en Europe et 9 % en Asie. En France, l’association FemTech France, créée en 2022, a répertorié <a href="https://www.femtechfrance.org/cartographie-start-up">115 start-up françaises de FemTech</a>.</p>
<p>Les entreprises de la FemTech visent en effet des domaines propres aux femmes (santé reproductive, périnéale, sexuelle, contraception, stérilité, ménopause, bien-être sexuel, endométriose, maternité/postpartum…) et aussi des pathologies plus générales mais qui affectent les femmes de façon différenciée (cancer, dépression, etc.).</p>
<p>À l’évidence, l’essor de ce marché correspond à une demande des femmes pour diverses raisons.</p>
<p>D’abord, ce marché se développe dans un contexte de <a href="https://www.senat.fr/questions/base/2019/qSEQ190409911.html">pénurie de gynécologues médicaux</a> – qui entraîne des errances thérapeutiques et diagnostiques – et de prise de conscience des expériences de <a href="https://www.cairn.info/revue-sante-publique-2021-5-page-629.html">violences gynécologiques et obstétricales</a>.</p>
<p>De plus, les acteurs de la Femtech répondent aux préoccupations et aspirations actuelles des femmes. Ils conçoivent des services personnalisés dédiés à la santé et au bien-être intime (douleurs menstruelles, vulvaires, rééducation périnéale, libido, ménopause, etc.), des sujets peu ou pas considérés par la médecine classique.</p>
<h2>Des applis dédiées à la santé sexuelle et reproductive</h2>
<p>La grande majorité des services proposés sont des applications sur téléphone mobile : gestion des donnés personnelles liées à la santé, conseils d’expert, téléconsultations, documentation, forums de discussion, etc. Les applications les plus populaires concernent la <a href="https://www.tandfonline.com/doi/abs/10.1080/13691058.2014.920528">santé sexuelle et reproductive</a> : <a href="https://estsjournal.org/index.php/ests/article/view/655">suivi menstruel</a>, grossesse, ménopause, endométriose…</p>
<p>Ces entreprises bénéficient aussi du fait que l’usage des technologies numériques est perçu comme un vecteur d’autonomisation des femmes dans le contrôle de leur corps et de leur vécu intime, avec l’avantage d’une commodité d’utilisation et d’un coût minimal.</p>
<p>Cependant, on notera que tous les sites d’aide et de conseils personnalisés aux utilisatrices, ou patientes, proposent systématiquement des offres commerciales : huiles essentielles, compléments alimentaires, produits cosmétiques, stages de fitness, yoga, méditation, sophrologie, etc.</p>
<h2>En entreprise, gérer les congés maternité ou les arrêts maladie</h2>
<p>Ces plates-formes numériques s’adressent aussi aux entreprises dans le but de gérer au mieux la santé des employé·e·s, réduire l’absentéisme, les coûts de santé et augmenter la productivité. Les femmes sont les plus concernées, car <a href="https://newsroom.malakoffhumanis.com/assets/barometre-absenteisme-malakoff-humanis-2023-presse-a834-63a59.html">leur taux d’absentéisme est supérieur à celui des hommes</a> (du fait des charges domestiques et familiales, de la santé reproductive…). Les domaines ciblés sont la gestion des congés maternité, le retour au travail et la prévention pour réduire les arrêts maladie.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/sexisme-en-entreprise-comment-les-hommes-peuvent-sallier-aux-femmes-pour-changer-les-choses-202561">Sexisme en entreprise : comment les hommes peuvent s’allier aux femmes pour changer les choses</a>
</strong>
</em>
</p>
<hr>
<p>Ces offres sont surtout développées aux États-Unis où la plupart des grandes sociétés assument une majeure partie des primes de santé versées aux assureurs. C’est le cas de la <a href="https://www.mavenclinic.com/">« Maven Clinic »</a>, une plate-forme virtuelle qui permet aux entreprises d’offrir à leurs employées un vaste réseau de services en ligne dans différents domaines : la procréation (fertilité, congélation d’ovocytes, procréation médicalement assistée ou PMA, gestation pour autrui ou GPA – une pratique non autorisée en France -), la grossesse et le suivi postpartum, la parentalité, la maternité et la pédiatrie, ou encore la ménopause.</p>
<p>En France, les plates-formes numériques dédiées à la santé des femmes en entreprise sont encore au stade de projets. Il est probable qu’elles devront dans un proche avenir affronter la concurrence américaine qui dispose de gros moyens pour se développer en Europe. La Maven Clinic a déjà des partenariats avec de nombreuses entreprises internationales, dont Amazon, Microsoft et l’Oréal, réparties dans 175 pays sur tous les continents.</p>
<h2>Une vigilance qui concerne la santé numérique en général</h2>
<p>En France, le sujet de la protection des données personnelles dans les FemTech, rejoint les <a href="https://www.ccne-ethique.fr/sites/default/files/2023-05/CCNE-CNPEN_GT-PDS_avis_final27032023.pdf">questions éthiques posées par la santé numérique en général</a> (e-santé). De plus, des questions spécifiques se posent concernant les données de santé sexuelle et reproductive, notamment dans le cadre de leur exploitation en entreprise.</p>
<p>Le fait que des informations intimes (projets de grossesse, PMA, endométriose, règles douloureuses…) puissent être portées à la connaissance de l’employeur pose un problème éthique face au risque de discriminations, à l’embauche et durant l’ensemble du parcours professionnel. Les <a href="https://www.senat.fr/leg/exposes-des-motifs/ppl22-537-expose.html">débats contradictoires sur la pertinence d’instaurer un congé menstruel</a> en sont l’illustration.</p>
<p>A noter aussi que depuis mars 2023, le <a href="https://www.legifrance.gouv.dfr/jorf/id/JORFTEXT000043884445">dossier médical en santé au travail</a> (DMST) qui doit être constitué pour chaque travailleur, est créé obligatoirement sous format numérique sécurisé. L’objectif est de faciliter le partage d’informations issues notamment du <a href="https://www.ameli.fr/paris/medecin/sante-prevention/dossier-medical-partage/dmp-en-pratique">dossier médical partagé</a> (DMP). Celui-ci comprendra à terme un volet santé au travail accessible via <a href="https://www.ameli.fr/paris/assure/sante/mon-espace-sante/mon-espace-sante-carnet-sante-numerique">Mon espace santé</a>, l’espace numérique personnel mis en place par l’Assurance maladie et le ministère de la Santé.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/conges-menstruels-neuroatypisme-maladies-chroniques-et-si-lentreprise-tenait-compte-de-nos-differences-biologiques-206321">Congés menstruels, neuroatypisme, maladies chroniques : et si l’entreprise tenait compte de nos différences biologiques ?</a>
</strong>
</em>
</p>
<hr>
<p>Le croisement de ces données entre professionnels de santé pose question, en termes de protection de la vie privée et de respect des droits du salarié·e. Par exemple, en cas de projets de maternité, le fait que le médecin traitant bénéficie d’informations sur la santé au travail peut contribuer à un meilleur suivi médical vis-à-vis de risques professionnels susceptibles d’interférer avec la grossesse.</p>
<p>Mais réciproquement, la possibilité d’accès du médecin du travail (non choisi, imposé par l’employeur) à des informations de santé que la femme salariée veut tenir confidentielles, appelle à la vigilance concernant le respect du secret médical.</p>
<h2>Les menaces sur la vie privée sous-estimées par les femmes</h2>
<p>Depuis 2022, le groupe « Genre et recherches en santé » du Comité d’éthique de l’Inserm alerte sur les <a href="https://www.hal.inserm.fr/inserm-03798828/document">enjeux éthiques des technologies numériques des FemTech</a>, concernant notamment le manque de validation scientifique et les failles dans la protection des données.</p>
<p>Il s’avère que les usagères ne sont pas toutes conscientes que leurs données de santé sont gérées par des services extérieurs et peuvent être exploitées par des tiers. Pour celles qui le sont, <a href="https://www.jmir.org/2019/6/e12505/">le bénéfice qu’elles déclarent tirer des outils numériques</a> l’emporte sur leur perception des menaces pour la vie privée.</p>
<p>Ce constat renvoie au besoin urgent de mettre en place des programmes d’éducation au numérique qui permettent au plus grand nombre de femmes (et d’hommes) d’en <a href="https://academic.oup.com/medlaw/article/30/3/410/6575319">évaluer les bénéfices et les risques</a>. Pour nombre de femmes, les conditions socio-économiques défavorables font obstacle à la possibilité d’opérer des arbitrages en connaissance de cause dans les services numériques qui leur sont proposés.</p>
<h2>Un programme sur la santé des femmes et des couples</h2>
<p>Pour répondre à ce besoin d’informations, fiables et accessibles, l’Inserm est potentiellement un levier de poids, notamment à travers le <a href="https://sante.gouv.fr/actualites/presse/communiques-de-presse/article/deuxieme-comite-de-pilotage-de-la-strategie-nationale-de-lutte-contre-l">programme national prioritaire de recherche (PEPR 2023) intitulé « Santé des femmes, santé des couples »</a>. L’objectif est de <a href="https://presse.inserm.fr/cest-dans-lair/semaine-europeenne-de-prevention-et-dinformation-sur-lendometriose-6-12-mars-2023/">développer les connaissances sur l’endométriose</a>, la fertilité, l’assistance médicale à la procréation (AMP) et les effets de l’exposition in utero aux antiépileptiques.</p>
<p>Le projet vise aussi à mieux communiquer, former et informer sur la santé des femmes via des campagnes de formation et d’information destinées aux professionnels de santé et au grand public. Ce programme pourrait inclure un volet d’information sur l’usage et le mésusage des outils numériques dédiés à la santé sexuelle et reproductive des femmes, et la protection des données personnelles.</p><img src="https://counter.theconversation.com/content/217707/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Catherine Vidal ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les FemTech, ces technologies numériques dédiées à la santé des femmes, sont en plein essor. Mais les utilisatrices sous-estiment parfois les menaces qu’elles peuvent faire peser sur leur vie privée.Catherine Vidal, Neurobiologiste, membre du Comité d’éthique de l’Inserm, InsermLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2094822023-09-21T15:32:01Z2023-09-21T15:32:01ZLes entreprises ont intérêt à aller au-delà de la simple conformité à la loi sur la protection des données personnelles<figure><img src="https://images.theconversation.com/files/545634/original/file-20230830-17-rktnmq.jpg?ixlib=rb-1.1.0&rect=7%2C2%2C983%2C558&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Une gestion saine des données personnelles requiert un effort important. Au-delà des contraintes imposées par la loi, une telle gestion offre aux entreprises une occasion de mieux structurer leurs données dans leur ensemble.</span> <span class="attribution"><span class="source">(Shutterstock)</span></span></figcaption></figure><p>La nouvelle législation sur la protection des renseignements personnels (découlant de l’adoption de la <a href="https://www.quebec.ca/gouvernement/ministeres-et-organismes/institutions-democratique-acces-information-laicite/acces-documents-protection-renseignements-personnels/pl64-modernisation-de-la-protection-des-renseignements-personnels">loi 25</a>) permet notamment aux entreprises de se prémunir contre des scandales de fuite de données, <a href="https://ici.radio-canada.ca/nouvelle/1952657/vol-massif-desjardins-ecoute-electronique-vendeur">tels que ceux qu’a connus Desjardins en 2019</a>.</p>
<p>La loi 25, dont la dernière phase d’application s’achève le 22 septembre 2024, comprend de multiples obligations de gouvernance, de transparence et de divulgation de l’information. Ces règles protègent les données des individus et offrent aux entreprises une occasion inespérée de développer une gouvernance globale de leurs données, et par la même occasion, de renforcer la sécurité de celles-ci. </p>
<p>Les compagnies plus avisées pourraient saisir cette opportunité pour aller au-delà de la simple conformité à la loi, en effectuant un inventaire global de leurs données, et en tirer des bénéfices considérables.</p>
<p>Experts en gestion des technologies de l’information et du numérique, nous proposons d’apporter un éclairage sur l’importance, pour les entreprises, de développer une gouvernance globale et cohérente de leurs données.</p>
<h2>Les changements réglementaires</h2>
<p>Le Québec a promulgué une nouvelle loi en septembre 2021, la <a href="https://www.quebec.ca/gouvernement/ministeres-et-organismes/institutions-democratique-acces-information-laicite/acces-documents-protection-renseignements-personnels/pl64-modernisation-de-la-protection-des-renseignements-personnels">loi 25</a>, pour protéger les informations personnelles détenues par les entreprises. </p>
<p>De son côté, le Canada étudie un projet de loi similaire (<a href="https://www.justice.gc.ca/fra/sjc-csj/pl/charte-charter/c27_1.html">C-27</a>). De telles mesures sont également en application en Europe. </p>
<p>Ces dispositions obligent les entreprises à construire un inventaire détaillé des données qu’elles conservent sur les personnes, qu’il s’agisse d’employés ou de clients. Désormais, ces données ne peuvent être utilisées qu’aux fins pour lesquelles elles ont été recueillies, avec le consentement des personnes concernées. Tout bris de confidentialité doit être consigné et déclaré aux autorités compétentes dans des délais spécifiques.</p>
<p>Par exemple, si une entreprise conserve des curriculum vitae à la suite de l’affichage d’un emploi, elle devra identifier le responsable de ces données, leur contenu, leur provenance, leur usage, qui peut y avoir accès, ainsi qu’un calendrier de conservation. Pour faciliter cet inventaire, l’utilisation d’un outil simple comme celui proposé ci-après pourrait être appliquée à l’ensemble des données de l’entreprise.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/537099/original/file-20230712-25-fxfky5.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/537099/original/file-20230712-25-fxfky5.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/537099/original/file-20230712-25-fxfky5.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=129&fit=crop&dpr=1 600w, https://images.theconversation.com/files/537099/original/file-20230712-25-fxfky5.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=129&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/537099/original/file-20230712-25-fxfky5.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=129&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/537099/original/file-20230712-25-fxfky5.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=162&fit=crop&dpr=1 754w, https://images.theconversation.com/files/537099/original/file-20230712-25-fxfky5.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=162&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/537099/original/file-20230712-25-fxfky5.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=162&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Exemple d’inventaire de données qui pourrait être utilisé par une entreprise.</span>
<span class="attribution"><span class="source">(Benoît A. Aubert), Fourni par l’auteur</span></span>
</figcaption>
</figure>
<h2>Les efforts requis</h2>
<p>Jusqu’à récemment, les données ne suscitaient pas autant d’intérêt que la sécurité des systèmes informatiques, par exemple les systèmes de marketing et de gestion des ventes, de ressources humaines ou de comptabilité. Les données étaient souvent partagées ou réutilisées. On pouvait par exemple revendre une liste de clients à une autre entreprise qui l’utilisait à des fins de marketing. Il y avait peu de protection pour les données individuelles détenues par les entreprises. </p>
<p>Avec la nouvelle législation, ces pratiques ne seront plus permises sans l’autorisation explicite des individus concernés par ces données. </p>
<p>En premier lieu, les organisations devront identifier l’ensemble des données personnelles qu’elles possèdent, comprendre comment et où elles sont gérées et stockées, et s’assurer que les bonnes personnes en soient responsables. Elles auront ainsi un portrait des données qui permettra d’indiquer à une personne qui le demande quelles données la concernant sont gardées. </p>
<p>Dans plusieurs entreprises, les données de vente sont gérées par le marketing, les données sur les personnes employées par les ressources humaines, et les comptes clients par les finances. Or, on ignore souvent qui détient quoi. Sans le savoir, des données sur une même personne peuvent se retrouver dans deux ou trois départements différents, et dans plusieurs bases ou entrepôts de données.</p>
<p>Les nouvelles lois exigent une approche plus structurée pour connaître et gérer ses données. Ceci implique d’identifier les processus et ressources nécessaires pour y parvenir, afin d’en tirer parti de façon responsable.</p>
<h2>Une opportunité se présente</h2>
<p>Une gestion saine des données personnelles requiert un effort important. Au-delà des contraintes imposées par la loi, une telle gestion offre aux entreprises une occasion de mieux structurer leurs données dans leur ensemble. Cette organisation leur permettra non seulement de les rentabiliser, mais également d’obtenir une meilleure performance.</p>
<p>Tant qu’à construire un inventaire sur les données personnelles, pourquoi ne pas y ajouter les données sur les produits et sur les processus ? Avec un inventaire complet des données, l’organisation pourra mieux analyser ses activités, améliorer ses services, être prête à exploiter l’intelligence artificielle, et être en mesure de traiter ses données comme un actif à valeur stratégique.</p>
<p>Un tel inventaire aura comme premier effet d’améliorer la qualité des données dans l’organisation. En effet, en construisant cet inventaire, on pourra définir une seule source fiable à utiliser, des paramètres d’évaluation de la qualité des données, et les personnes responsables de ces dernières. Une augmentation de la qualité des données aura un impact positif sur d’autres activités comme le suivi de performance ou l’ajout de nouveaux services. Il deviendra alors possible de mieux servir les clients de l’organisation. De manière réciproque, les personnes qui transmettront leurs données aux entreprises seront assurées qu’elles seront utilisées aux fins prévues, et mises à jour correctement.</p>
<h2>Faire d’une pierre deux coups</h2>
<p>Une fois les données identifiées et de bonne qualité, les entreprises pourront en tirer profit. Comment ? En donnant accès à des services reposant sur leurs données, par exemple. Elles pourront ainsi laisser leurs clients accéder aux données de manière à intégrer leurs produits plus facilement aux offres de service. </p>
<p>Par exemple, des compagnies de livraison ouvrent déjà une partie de leurs données aux services de ventes en ligne afin que le consommateur puisse facilement suivre la livraison de ses commandes. Les livraisons sont suivies à la trace pour en assurer la performance, et les clients apprécient la possibilité de suivre la progression de leur commande.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/545632/original/file-20230830-15-3zewor.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="livreur à mobilette" src="https://images.theconversation.com/files/545632/original/file-20230830-15-3zewor.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/545632/original/file-20230830-15-3zewor.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/545632/original/file-20230830-15-3zewor.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/545632/original/file-20230830-15-3zewor.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/545632/original/file-20230830-15-3zewor.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/545632/original/file-20230830-15-3zewor.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/545632/original/file-20230830-15-3zewor.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Des compagnies de livraison ouvrent une partie de leurs données aux services de ventes en ligne afin que le consommateur puisse facilement suivre la livraison de ses commandes.</span>
<span class="attribution"><span class="source">(Shutterstock)</span></span>
</figcaption>
</figure>
<h2>Regard vers le futur</h2>
<p>La gestion des données personnelles est désormais une obligation légale. Si elle est exécutée sans autre objectif que celui de respecter la loi, elle requerra un effort important sans procurer de bénéfice tangible, et représentera une occasion manquée. </p>
<p>Or, si cette gestion est étendue au-delà des seules données personnelles, un monde de possibilités s’ouvrira aux entreprises, qui pourront commencer à traiter les données comme une ressource stratégique, au même titre que les ressources financières ou humaines. Ces données pourront permettre la création de modèles d’affaires complètement différents. Tant les entreprises que les individus y gagneront.</p><img src="https://counter.theconversation.com/content/209482/count.gif" alt="La Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Nothing to disclose.</span></em></p><p class="fine-print"><em><span>Benoit A. Aubert et Ryad Titah ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur poste universitaire.</span></em></p>Les compagnies doivent aller au-delà de la simple conformité à la loi sur la protection des données personnelles, en effectuant un inventaire global de leurs données.Benoit A. Aubert, Professeur titulaire en Technologies de l'information, HEC MontréalGregory Vial, Associate professor of Information Technology, HEC MontréalRyad Titah, Professeur Agrégé, Directeur du Département de Technologies de l'Information, HEC MontréalLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2126322023-09-07T15:35:27Z2023-09-07T15:35:27ZChercheuse, chercheur, êtes-vous « techno-vulnérable » ?<figure><img src="https://images.theconversation.com/files/545729/original/file-20230831-4384-19g87w.jpg?ixlib=rb-1.1.0&rect=37%2C10%2C1138%2C738&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Dans l’intérêt de l’intégrité scientifique, il faut prendre pour acquis qu’il n’y a pas d’amis, seulement des ennemis potentiels.
</span> <span class="attribution"><a class="source" href="https://pixabay.com/sv/illustrations/s%C3%A4kerhet-cyber-data-dator-n%C3%A4tverk-4868165/">Pete Linforth/Pixabay</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Le pain et le beurre de tout scientifique sont les données qu’il recueille au fur et à mesure de ses recherches, qu’elles soient terrain ou à partir de bases de données, qu’elles soient qualitatives ou quantitatives, ou les deux. Dans tous les cas de figure, le chercheur s’appuie sur ses données pour peaufiner des théories existantes, élaborer des hypothèses, confirmer des modèles, bref pour apporter à la science une valeur certaine qui permettra, l’espère-t-il (tout comme les revues scientifiques qui le publient), une amélioration de ce que l’on pourrait nommer la condition humaine.</p>
<p>Or, personne n’est sans savoir que les <a href="https://theconversation.com/fr/topics/donnees-23709">données</a> de <a href="https://theconversation.com/fr/topics/recherche-23152">recherche</a> sont sujettes à de nombreuses attaques, par exemple par le biais de <a href="https://theconversation.com/fr/topics/piratage-26347">piratage</a> informatique ou de vol de propriété intellectuelle. Parmi mes nombreux articles qui examinent le phénomène de mise en vulnérabilité économique, je <a href="https://www.tandfonline.com/doi/abs/10.1080/08276331.2018.1459018">définis cette « techno-prédation</a> » comme l’appropriation ou l’utilisation planifiée « et indésirable d’une nouvelle <a href="https://theconversation.com/fr/topics/technologies-21576">technologie</a> par une partie prenante (ci-après dénommée le « techno-prédateur ») d’un réseau d’innovation, au détriment du créateur de ladite technologie (ci-après dénommé la « techno-proie »)… Ce phénomène peut avoir plusieurs formes et impliquer plusieurs parties prenantes (investisseurs, sociétés, <a href="https://theconversation.com/fr/topics/universites-20604">universités</a>, chercheurs, inventeurs, ou un mélange des cinq). Elle peut aussi être le sort d’universités ou autres institutions inexpérimentées qui sont peu enclines à protéger leurs chercheurs ou incapables de le faire ».</p>
<p>[<em>Plus de 85 000 lecteurs font confiance aux newsletters de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://memberservices.theconversation.com/newsletters/?nl=france&region=fr">Abonnez-vous aujourd’hui</a>]</p>
<p>Il faut retenir de cette définition que personne n’échappe à des tentatives d’escroquerie dans le domaine scientifique. Même le proche collaborateur avec lequel un scientifique travaille depuis 20 ans s’avérera un « traître » si son idéologie ou ses croyances le guident vers une voie qui diffère de la mission première de la recherche, ou alors s’il est attisé par des considérations parallèles, tels un gain financier ou l’opportunité de se construire une certaine célébrité en utilisant des données qui ne lui appartiennent pas. C’est malheureux à dire, mais dans l’intérêt de l’intégrité scientifique, il faut prendre pour acquis, dans le présent contexte, qu’il n’y a pas d’amis, même pas au sein du syndicat des professeurs, seulement des ennemis potentiels.</p>
<h2>Un phénomène qui n’est pas nouveau</h2>
<p>Parmi ceux qui peuvent compromettre les données se trouvent une panoplie d’individus et d’organisations, dont les intentions, le manque de moyens, ou la mauvaise foi, sont à considérer avec soin. Cependant, le premier danger vient des chercheurs eux-mêmes en tant que scientifiques : le laissez-faire, le manque de rigueur, ou la paresse peut-être sont autant de portes d’entrée pour les malfaiteurs.</p>
<p>Ensuite viennent les personnes qui ont accès, directement ou indirectement, physiquement ou par Internet, aux données du chercheur. Cela comprend les étudiants, les collaborateurs, les personnes à qui des projets de recherche sont présentés, les responsables des institutions, les membres de comités d’éthique, etc. Il faut noter ici que bien des étudiants à la maîtrise ou au doctorat se plaignent de ce que leurs travaux sont repris à leur insu par leur directeur de recherche ; ce phénomène n’est pas nouveau.</p>
<h2><a href="https://sphinx.icn-artem.com/SurveyServer/s/pedagogie/EnqueteTechoPredation/questionnaire.htm">Et vous, êtes-vous « techno-vulnérable » ? Faites le test en cliquant ici !</a></h2>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/546702/original/file-20230906-28-gbi3mi.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/546702/original/file-20230906-28-gbi3mi.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=450&fit=crop&dpr=1 600w, https://images.theconversation.com/files/546702/original/file-20230906-28-gbi3mi.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=450&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/546702/original/file-20230906-28-gbi3mi.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=450&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/546702/original/file-20230906-28-gbi3mi.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=565&fit=crop&dpr=1 754w, https://images.theconversation.com/files/546702/original/file-20230906-28-gbi3mi.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=565&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/546702/original/file-20230906-28-gbi3mi.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=565&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Vous êtes-vous déjà interrogé sur votre exposition au risque de vol ou de destruction de vos données scientifiques ?</span>
<span class="attribution"><a class="source" href="https://www.pxfuel.com/en/free-photo-jerfy">Pxfuel</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span>
</figcaption>
</figure>
<p>Il ne faut pas oublier que les actions dolosives sont souvent très bien camouflées, que les acteurs en jeu jouissent parfois du support logistique et financier de puissantes firmes d’avocats ou même de gouvernements (par exemple, dans le cas d’espionnage industriel), et qu’ils ont recours dans des cas extrêmes à des tentatives d’intimidation, des menaces, à de la diffamation du chercheur, ou pire encore. Le travail de tout chercheur, peu importe sa spécialité, mérite d’être protégé.</p>
<h2>Les cinq clés de défense</h2>
<p>Alors, comment se prémunir contre ce fléau ? Il existe cinq clés de défense essentielles : la prudence, la duplication, la traçabilité, le cryptage et la vérification.</p>
<p>En ce qui a trait à la <strong>prudence</strong>, le chercheur prendra toutes les mesures nécessaires pour ne pas ébruiter inutilement en quoi sa recherche consiste avant sa publication et vérifiera régulièrement la force et la nature des liens de confiance avec les personnes qui ont un accès à ses données, sans jamais présumer que l’organisation qui le soutient est infaillible ou éthiquement responsable en termes de sécurité des données. Le chercheur doit à tout prix éviter de se mettre en position de vulnérabilité en imbriquant vie professionnelle et vie personnelle : les malfaiteurs utiliseront ces derniers renseignements pour exercer du chantage ou des représailles.</p>
<p>Quant à la <strong>duplication</strong>, le chercheur voudra garder ses données dans au moins trois endroits différents : sur son lieu de travail, sur une surface accessible (une clé USB, un site Internet sécurisé), et sur un disque dur gardé si possible chez soi ou, par exemple, à sa banque, dans un coffre-fort. L’idée est qu’il doit y avoir trois copies des données localisées dans des endroits différents, avec des méthodes d’accès différentes. Cela vaut pour toutes les données de recherche, pas seulement pour celles qui promettent de fusionner la théorie de la relativité et la physique quantique. L’effort en vaut la peine et n’est pas fondamentalement difficile à faire.</p>
<p>En ce qui concerne la <strong>traçabilité</strong>, celle-ci est un concept fondamental dans toute recherche scientifique. Il s’agit de s’assurer que tout développement, peu importe sa pertinence perçue immédiate, puisse être retracé. Le chercheur, à titre d’exemple, sauvegardera ses écrits, ses tableurs Excel, ses analyses en SPSS, selon un code de jour et d’heure de révision. Une recherche qui n’a pas un historique clair et définissable n’a que peu de valeur, car la réplicabilité des recherches est au cœur des avancées scientifiques. Malheureusement, bien des étudiants, de ce que j’ai pu voir, sauvegardent leurs travaux en continu avec le même nom de dossier ; l’historique est ainsi perdu. À ce chapitre, rien n’empêche le chercheur, chaque vendredi après- midi, de faire une capture d’écran ou de sortir son téléphone pour prendre une photo de son écran afin de capturer la preuve visuelle que tel ou tel dossier était bien présent sur son ordinateur.</p>
<p>Par <strong>cryptage</strong>, j’entends ici des mesures avec différents degrés de complexité. Les chercheurs en sciences humaines savent très bien qu’ils doivent employer des codes pour éviter que l’on puisse reconnaître les participants à leurs études. Le même principe s’applique partout : rien n’empêche un chercheur de sécuriser ses données, ses modèles, ses écrits, à l’aide de mots de passe efficaces (changés régulièrement), de codes cryptés et de procédures reconnues pour maximiser la protection des données.</p>
<p>Enfin, le chercheur <strong>vérifiera</strong> régulièrement que ses données sont à jour, qu’elles demeurent intègres, et qu’aucune trace de violation n’est présente.</p>
<h2>David face à Goliath… mais sans fronde</h2>
<p>Ces cinq conseils sont d’autant plus précieux qu’il faut se rappeler que devant certaines forces, y compris institutionnelles ou étatiques, le chercheur sera bien mal équipé pour se défendre. Prenons l’exemple d’un chercheur qui s’aperçoit qu’on est entré dans son bureau durant le week-end, à son insu, mais qui ne peut le prouver. L’université ou le département de la recherche de son entreprise aura beau jeu de dire que ne sont entrées que les personnes affectées à l’entretien ménager.</p>
<p>Si l’institution décide de détruire de manière illicite les données stockées sur l’ordinateur du chercheur à son insu, elle pourra arguer à juste titre que le matériel informatique lui appartient, et même affirmer qu’il n’y avait aucun contenu sur le disque dur. Quant à la police, elle risque de répondre au chercheur qu’il lui appartient de prouver que ce qu’il prétend était présent sur son ordinateur était effectivement présent, ce qui sera plutôt difficile et probablement peu convaincant. Alors autant chercher à éviter ce genre de situation, pour son bien personnel et le respect de la science !</p>
<hr>
<p><em>Vous pouvez retrouver le test de « techno-vulnérabilité » conçu par l’auteur en cliquant sur le lien suivant : <a href="https://sphinx.icn-artem.com/SurveyServer/s/pedagogie/EnqueteTechoPredation/questionnaire.htm">Enquête sur la techno-vulnérabilité</a></em>.</p><img src="https://counter.theconversation.com/content/212632/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Olivier Mesly ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les données collectées dans le cadre des travaux de recherche peuvent attirer la convoitise de personnes mal intentionnées, mais quelques principes simples permettent de limiter les risques de vol.Olivier Mesly, Enseignant-chercheur au laboratoire CEREFIGE, université de Lorraine, professeur de marketing, ICN Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2082562023-06-23T08:40:51Z2023-06-23T08:40:51ZChatGPT, modèles de langage et données personnelles : quels risques pour nos vies privées ?<figure><img src="https://images.theconversation.com/files/533505/original/file-20230622-29-h8hf57.jpg?ixlib=rb-1.1.0&rect=7%2C29%2C4913%2C3223&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Les immenses bases de données qui servent à l'apprentissage de grands modèles de langage ne sont pas toutes anonymisées.</span> <span class="attribution"><a class="source" href="https://unsplash.com/fr/photos/xsGApcVbojU">Dmitry Ratushny, Unsplash</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>Les grands <a href="https://theconversation.com/fr/topics/modeles-de-langage-133746">modèles de langage</a> ont récemment attiré beaucoup d’attention, notamment grâce à l’<a href="https://theconversation.com/chatgpt-pourquoi-tout-le-monde-en-parle-197544">agent conversationnel ChatGPT</a>. Cette plate-forme est devenue virale en seulement quelques mois et a déclenché une course effrénée pour développer de nouveaux modèles de langage toujours plus efficaces et puissants, rivalisant avec l’humain pour certaines tâches.</p>
<p>Cette <a href="https://futureoflife.org/open-letter/pause-giant-ai-experiments/">croissance phénoménale est d’ailleurs jugée dangereuse par de nombreux acteurs du domaine</a>, qui plaident pour une pause afin d’avoir le temps de débattre sur l’éthique en IA et de mettre à jour les réglementations.</p>
<p>Une des grandes questions qui se pose est l’articulation entre intelligence artificielle et vie privée des utilisateurs. En particulier, les prouesses des grands modèles de langage sont dues à un entraînement intensif sur d’énormes ensembles de données, qui contiennent potentiellement des informations à caractère personnel, car il n’y a pas d’obligation d’<a href="https://theconversation.com/comment-anonymiser-des-donnees-personnelles-199922">anonymiser</a> les données d’entraînement.</p>
<p>Il est alors difficile de garantir en pratique que le modèle ne compromet pas la confidentialité des données lors de son utilisation. Par exemple, un modèle pourrait générer des phrases contenant des informations personnelles qu’il a vues pendant sa phase d’entraînement.</p>
<h2>Apprendre à imiter le langage humain</h2>
<p>Les modèles de traitement du langage sont une famille de modèles basés sur l’apprentissage automatique (<em>machine learning</em> en anglais), entraînés pour des tâches telles que la classification de texte, le résumé de texte et même des <a href="https://theconversation.com/fr/topics/chatbots-67347">chatbots</a>.</p>
<p>Ces modèles apprennent d’une part à encoder les mots d’une phrase sous la forme de vecteurs, en tenant compte de l’ensemble du contexte. Dans les phrases « J’ai mangé une orange » et « Son manteau orange est beau », le mot « orange » se verra attribuer deux encodages différents, puisque la position et le sens ne sont pas les mêmes.</p>
<figure class="align-center ">
<img alt="orange bleue a l’extérieur" src="https://images.theconversation.com/files/533510/original/file-20230622-27-97h797.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/533510/original/file-20230622-27-97h797.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/533510/original/file-20230622-27-97h797.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/533510/original/file-20230622-27-97h797.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/533510/original/file-20230622-27-97h797.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/533510/original/file-20230622-27-97h797.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/533510/original/file-20230622-27-97h797.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">La Terre est bleue comme une orange. Les modèles de langage apprenne à générer des phrases en faisant suivre les mots les plus probable. Auraient-ils proposé cette ligne de Paul Éluard ?</span>
<span class="attribution"><a class="source" href="https://pixabay.com/fr/photos/bleu-orange-agrumes-fruit-aliments-2566623/">pixabay</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>Ces modèles apprennent également à décoder ces ensembles de vecteurs contextualisés et leurs relations, pour générer de nouveaux mots. Une phrase est générée séquentiellement, en prédisant le prochain mot en fonction de la phrase d’entrée et des mots prédits précédemment.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/comment-fonctionne-chatgpt-decrypter-son-nom-pour-comprendre-les-modeles-de-langage-206788">Comment fonctionne ChatGPT ? Décrypter son nom pour comprendre les modèles de langage</a>
</strong>
</em>
</p>
<hr>
<p>L’architecture de ces modèles peut être spécialisée pour certaines tâches. Par exemple, les modèles de type BERT sont souvent « affinés » en apprenant sur des données spécialisées, par exemple sur des dossiers de patients pour développer un outil de diagnostic médical, et sont plus performants sur des tâches de classification de texte tandis que les modèles GPT sont utilisés pour générer de nouvelles phrases. Avec l’essor des applications exploitant les modèles de langage de langage, les architectures et les algorithmes d’entraînement évoluent rapidement. Par exemple, ChatGPT est un descendant du modèle GPT-4, son processus d’apprentissage ayant été étendu pour se spécialiser dans la réponse aux questions.</p>
<h2>Confidentialité des informations utilisées pendant la phase d’entraînement du modèle</h2>
<p>Les modèles de traitement du langage naturel ont besoin d’une quantité énorme de données pour leur entraînement. Pour ChatGPT par exemple, les <a href="https://arxiv.org/pdf/2005.14165.pdf">données textuelles du web tout entier ont été récoltées pendant plusieurs années</a>.</p>
<p>Dans ce contexte, la principale préoccupation en matière de confidentialité est de savoir si l’exploitation de ces modèles ou les informations qu’ils produisent peuvent dévoiler des données personnelles ou sensibles utilisées pendant la phase d’apprentissage et « recrachées » ou inférées pendant la phase d’utilisation.</p>
<figure class="align-center ">
<img alt="ombre humaine devant lignes de codes" src="https://images.theconversation.com/files/533509/original/file-20230622-29-fmuzq6.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/533509/original/file-20230622-29-fmuzq6.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/533509/original/file-20230622-29-fmuzq6.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/533509/original/file-20230622-29-fmuzq6.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/533509/original/file-20230622-29-fmuzq6.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/533509/original/file-20230622-29-fmuzq6.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/533509/original/file-20230622-29-fmuzq6.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Quelle est la probabilité qu’un grand modèle de langage donne une information personnelle acquise lors de son apprentissage ?</span>
<span class="attribution"><a class="source" href="https://unsplash.com/fr/photos/1tnS_BVy9Jk">Chris Yang/Unsplash</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>Considérons d’abord les chatbots (exploitant les modèles de type GPT) qui ont appris à générer des phrases à partir d’un texte d’entrée. D’un point de vue mathématique, chaque mot est prédit séquentiellement, sur la base de probabilités qui auront été apprises durant la phase d’entraînement.</p>
<p>Le problème principal est que des données potentiellement personnelles peuvent parfois constituer la réponse la plus probable. Par exemple, si le modèle a vu la phrase « Monsieur Dupont habite 10 rue de la République » et qu’on lui demande « Où habite Monsieur Dupont ? », le modèle sera naturellement enclin à répondre l’adresse de celui-ci. Dans la pratique, le modèle aura aussi vu de nombreuses phrases de la forme « X habite à Y » et on s’attend plutôt à ce qu’il réponde des connaissances générales plutôt que des adresses spécifiques. Néanmoins, le risque existe et il est nécessaire de pouvoir le quantifier.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/exploitation-des-donnees-un-changement-de-contrat-social-a-bas-bruit-199038">Exploitation des données : un changement de contrat social à bas bruit</a>
</strong>
</em>
</p>
<hr>
<h2>Évaluer les probabilités de fuites de données</h2>
<p>Il existe tout d’abord des techniques pour évaluer en amont de l’entraînement final si des phrases rares ont le potentiel d’être anormalement mémorisées par le modèle. On réalise pour cela des micro-entraînements, avec et sans ces phrases, et l’on se débarrasse de celles qui auraient une influence trop grande.</p>
<p>Mais les gros modèles de traitement du langage naturel sont non déterministes et très complexes de nature. Ils sont composés de milliards de paramètres et l’ensemble des résultats possibles étant infini, il est en pratique impossible de vérifier manuellement le caractère privé de toutes les réponses. Néanmoins, il existe des métriques qui permettent d’approximer ou de donner une borne maximale sur les fuites de données potentielles.</p>
<p>[<em>Plus de 85 000 lecteurs font confiance aux newsletters de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://memberservices.theconversation.com/newsletters/?nl=france&region=fr">Abonnez-vous aujourd’hui</a>]</p>
<p>Une première métrique est l’« extractibilité ». Nous disons qu’un texte est « k-extractible » s’il est possible de le générer à partir d’une entrée de longueur k (en nombre de mots). Par exemple, si le modèle renvoie « 10 rue république » lorsqu’on lui demande « Monsieur Dupont habite à », cette adresse est 3-extractible.</p>
<p>Pour les données personnelles ou sensibles, l’objectif est d’avoir un k le plus élevé possible, car un k faible implique une extraction facile. Une <a href="https://arxiv.org/abs/2012.07805">étude de ce type a été réalisée sur GPT-2</a> : elle a permis d’extraire facilement des informations personnelles sur des individus.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/comment-anonymiser-des-donnees-personnelles-199922">Comment anonymiser des données personnelles ?</a>
</strong>
</em>
</p>
<hr>
<p>Un autre risque qu’on peut évaluer est l’« inférence d’appartenance ». L’objectif ici est d’identifier si une donnée a été utilisée lors de l’apprentissage du modèle. Supposons par exemple qu’un hôpital entraîne un modèle pour détecter la présence de cancer à partir d’extraits médicaux de patients. Si vous parvenez à découvrir que le modèle a été entraîné sur les données de Monsieur Dupont, vous apprendrez indirectement qu’il est probablement atteint de cancer.</p>
<p>Pour éviter cela, nous devons nous assurer que le modèle ne donne aucun indice quant aux données sur lesquelles il a été entraîné, ce qu’il fait par exemple lorsqu’il se montre trop confiant vis-à-vis de certaines réponses (le modèle va mieux se comporter sur des données qu’il a déjà vu pendant la phase d’entraînement).</p>
<h2>Trouver le bon compromis</h2>
<p>Faire comprendre au modèle quelles données sont à caractère personnel n’est pas évident, puisque la frontière entre ces deux types de données dépend bien souvent du contexte (l’adresse d’Harry Potter est connue de tous, contrairement à celle de Monsieur Dupont).</p>
<p>L’entraînement d’un modèle qui respecte la confidentialité passe alors souvent par l’ajout de bruit à un moment ou un autre. L’ajout de bruit consiste à altérer l’information apprise ou bien les réponses du modèle, ce qui permet de réduire les risques d’extraction ou d’inférence. Mais cela implique aussi une légère baisse d’utilité. Il faut donc faire un compromis entre performance et respect des données personnelles.</p>
<p>Les applications potentielles des modèles de langage sont incroyablement vastes, mais il est nécessaire d’encadrer leur pratique en prenant compte les risques de fuites avant leur déploiement. De <a href="https://files.inria.fr/ipop/">nouvelles méthodes d’entraînement, ainsi que l’anonymisation des données, voire l’utilisation de données synthétiques, sont toutes des solutions prometteuses et en cours d’étude</a>, mais il faudra de toute manière les accompagner de métriques et de méthodologies pour valider non seulement les performances mais aussi la confidentialité des informations personnelles utilisées lors de l’entraînement des modèles.</p>
<hr>
<p><em>Cet article a été co-écrit par Gaspard Berthelier, en stage au centre Inria de l’Université Grenoble Alpes dans l’équipe Privactics, sur le natural language processing (NLP) et le respect des données personnelles.</em></p>
<hr>
<figure class="align-right ">
<img alt="" src="https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=306&fit=crop&dpr=1 600w, https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=306&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=306&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=385&fit=crop&dpr=1 754w, https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=385&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/496784/original/file-20221122-12-xtvhsq.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=385&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption"></span>
</figcaption>
</figure>
<p><em>Nous proposons cet article dans le cadre du Forum mondial Normandie pour la Paix organisé par la Région Normandie les 28 et 29 septembre 2023 et dont The Conversation France est partenaire. Pour en savoir plus, visiter le site du <a href="https://normandiepourlapaix.fr/">Forum mondial Normandie pour la Paix</a></em>.</p><img src="https://counter.theconversation.com/content/208256/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Antoine Boutet ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les grands modèles de langage sont entraînés sur des données du web, voire, pour certains plus spécialisés, sur des dossiers médicaux. Comment garantir la confidentialité de ces données ?Antoine Boutet, Maitre de conférence, Privacy, IA, au laboratoire CITI, Inria, INSA Lyon – Université de LyonLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/2014942023-03-29T18:33:29Z2023-03-29T18:33:29ZDonnées personnelles : rien à cacher, mais beaucoup à perdre<figure><img src="https://images.theconversation.com/files/517016/original/file-20230322-26-qwrerc.jpg?ixlib=rb-1.1.0&rect=0%2C18%2C3138%2C3011&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Nos données personnelles sont partout sur internet, et peuvent être utilisées à très mauvais escient.</span> <span class="attribution"><a class="source" href="https://unsplash.com/fr/photos/kq1Y7Aguwt0">Дмитрий Хрусталев-Григорьев , Unsplash</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>Nos données personnelles circulent sur Internet : nom, adresses, coordonnées bancaires ou de sécurité sociale, localisation en temps réel… et les affaires qui y sont liées se font une place pérenne dans le débat public, du <a href="https://theconversation.com/cambridge-analytica-et-facebook-le-respect-de-votre-vie-privee-nous-tient-a-coeur-oupas-93755">scandale Facebook-Cambridge Analytica</a> au <a href="https://www.clubic.com/antivirus-securite-informatique/actualite-405297-la-croix-rouge-se-fait-voler-les-donnees-de-plus-de-500-000-personnes-hautement-vulnerables.html">vol de données à la Croix-Rouge</a>, en passant par les récents <a href="https://theconversation.com/cyberattaques-des-hopitaux-que-veulent-les-hackers-192407">blocages d’hôpitaux par des rançongiciels</a> (ou <em>ransomware</em>) et l’<a href="https://theconversation.com/tiktok-piratage-de-donnees-ou-piratage-des-cerveaux-200923">interdiction de l’application TikTok pour les fonctionnaires de plusieurs pays</a>.</p>
<p>Mais si l’on sait de plus en plus que nos données personnelles sont « précieuses » et offrent des possibilités sans précédent en matière de commercialisation et d’innovation, il est parfois difficile de saisir ou d’expliquer pourquoi il faudrait les protéger.</p>
<h2>Quels sont les risques liés à la divulgation de mes données personnelles ?</h2>
<p>Le premier risque concerne la perte du contrôle sur nos propres données. C’est ce qui arrive par exemple quand on autorise le traçage par des sites ou des applications : on autorise l’enregistrement de nos activités sur le Web ou sur notre smartphone (pages visitées, géolocalisation) et l’échange de ces données, et, une fois cet accord donné, nous n’avons plus aucun pouvoir sur la circulation de nos données.</p>
<p>Ces informations sont utilisées le plus souvent pour du profilage qui permet d’alimenter l’économie de la <a href="https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookie-walls/publicite-ciblee-en-ligne-quels-enjeux-pour-la-protection-des-donnees-personnelles">publicité personnalisée</a> régie dorénavant par des plates-formes d’enchères valorisant les données relatives aux profils utilisateurs contre des emplacements publicitaires.</p>
<p>Mais, ces informations peuvent également être utilisées à mauvais escient. La connaissance de votre localisation peut aider le passage à l’acte d’un cambrioleur par exemple, et la connaissance de vos centres d’intérêts ou opinion politique peut vous exposer à des <a href="https://theconversation.com/comment-lusage-de-vos-donnees-peut-influencer-les-elections-140001">opérations d’influence</a>.</p>
<p>Le scandale Cambridge Analytica en est un exemple, avec l’exploitation de données personnelles de millions d’utilisateurs Facebook pour des campagnes de désinformation ciblées afin d’influencer des intentions de vote. Plus récemment, les <a href="https://www.lemonde.fr/pixels/article/2023/02/16/les-reseaux-sociaux-pierre-angulaire-des-operations-d-influence-et-d-intoxication_6161995_4408996.html">révélations du <em>Monde</em> sur les entreprises de désinformation</a> indiquent que cette pratique n’est pas un cas isolé.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/exploitation-des-donnees-un-changement-de-contrat-social-a-bas-bruit-199038">Exploitation des données : un changement de contrat social à bas bruit</a>
</strong>
</em>
</p>
<hr>
<p>Un autre risque concerne l’<a href="https://theconversation.com/cyberattaques-des-hopitaux-que-veulent-les-hackers-192407">hameçonnage</a> : si des informations personnelles sont présentes dans un courriel ou SMS frauduleux, il vous paraîtra plus réaliste et abaissera vos barrières de vigilance. L’hameçonnage sert souvent à infecter la cible avec un <a href="https://theconversation.com/rancongiciels-vos-donnees-en-otage-159975">rançongiciel</a> (<em>ransomware</em> en anglais) : les cybercriminels utilisent des informations personnalisées pour gagner la confiance des destinataires et les inciter à ouvrir des pièces jointes, ou à cliquer sur des liens ou documents malveillants, ce qui permet dans un second temps de verrouiller les données de la victime et d’en interdire l’accès. Une rançon est ensuite réclamée pour les déverrouiller.</p>
<p>[<em>Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd’hui</a>]</p>
<p>Bien que les attaques par rançongiciel les plus médiatisées concernent des organisations, des hôpitaux par exemple, les <a href="https://www.malwarebytes.com/resources/files/2019/08/ctnt-2019-ransomware_august_final.pdf">particuliers sont également touchés</a>.</p>
<p>Dans le cas de l’usurpation d’identité, une personne malveillante utilise des informations personnelles qui permettent de nous identifier (« se logger ») sans notre accord : par exemple, en créant un faux profil sur une plate-forme et en rédigeant des commentaires sous l’identité de la victime afin de nuire à sa réputation.</p>
<p>À un autre niveau, la surveillance de masse exercée par certains États capture les informations personnelles de leurs citoyens afin d’entraver la liberté d’expression ou de ficher les individus par exemple. Une surveillance accrue peut tendre vers un sentiment d’absence de sphère privée et ainsi brider le comportement des individus.</p>
<p>En Europe, le RGPD (règlement général sur la protection des données) limite la récolte des données personnelles, notamment par les gouvernements, qui doivent justifier d’une raison suffisante pour toute surveillance.</p>
<h2>Chacun d’entre nous a une empreinte numérique unique</h2>
<p>Ces problèmes touchent chacun d’entre nous. En effet, dans un monde de plus en plus numérique où nous générons quotidiennement des données à travers notre navigation sur Internet, nos smartphones, ou nos montres connectées, nous avons tous une « empreinte numérique unique ».</p>
<p>En clair, il est généralement possible de réidentifier quelqu’un juste à partir des « traces » que nous laissons derrière nous sur nos appareils numériques.</p>
<figure class="align-center ">
<img alt="une empreinte digitale à la craie" src="https://images.theconversation.com/files/517017/original/file-20230322-20-4osbw3.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/517017/original/file-20230322-20-4osbw3.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=397&fit=crop&dpr=1 600w, https://images.theconversation.com/files/517017/original/file-20230322-20-4osbw3.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=397&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/517017/original/file-20230322-20-4osbw3.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=397&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/517017/original/file-20230322-20-4osbw3.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=499&fit=crop&dpr=1 754w, https://images.theconversation.com/files/517017/original/file-20230322-20-4osbw3.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=499&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/517017/original/file-20230322-20-4osbw3.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=499&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Nos données personnelles permettent de nous identifier, comme une empreinte digitale numérique.</span>
<span class="attribution"><a class="source" href="https://unsplash.com/fr/photos/5PqBCWUtYbo">Immo Wegmann/Unsplash</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>Par exemple, l’observation aléatoire de quatre lieux visités seulement représente une signature unique pour <a href="https://hal.science/hal-01381986/document">98 % des individus</a>. Cette unicité est généralisable dans un grand nombre de comportements humains.</p>
<p>Cacher l’identité du propriétaire de données personnelles uniquement derrière un pseudonyme n’est pas une protection suffisante face au risque de réidentification, il est nécessaire d’anonymiser les données.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/donnees-anonymes-bien-trop-faciles-a-identifier-123157">Données anonymes… bien trop faciles à identifier</a>
</strong>
</em>
</p>
<hr>
<h2>Données synthétiques, apprentissage fédéré : les nouvelles méthodes pour protéger les données personnelles</h2>
<p>Tels les membres d’un « black bloc » essayant d’être indistinguables entre eux en s’habillant de manière identique dans une manifestation houleuse, l’anonymisation de données a pour but d’éviter qu’une personne ne se démarque du reste de la population considérée, afin de limiter l’information qu’un cyberattaquant pourrait extraire.</p>
<p>Dans le cas de données de géolocalisation, on pourrait par exemple modifier les données afin que plusieurs utilisateurs partagent les mêmes lieux visités, ou alors introduire du bruit pour ajouter une incertitude sur les lieux réellement visités.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/comment-anonymiser-des-donnees-personnelles-199922">Comment anonymiser des données personnelles ?</a>
</strong>
</em>
</p>
<hr>
<p>Mais cette anonymisation a un coût car elle « déforme » les données et diminue leur valeur : une trop grande modification des données brutes dénature l’information véhiculée dans les données anonymisées. De plus, pour s’assurer de l’absence d’une empreinte réidentifiante, les modifications nécessaires sont <a href="https://dl.acm.org/doi/10.1145/2030613.2030630">très importantes</a> et souvent incompatibles avec nombre d’applications.</p>
<p>Trouver le bon compromis entre protection et utilité des informations anonymisées reste un challenge. À l’heure où certains voient les données comme le nouveau pétrole du XXI<sup>e</sup> siècle, l’enjeu est de taille car une donnée anonyme n’est plus considérée comme une donnée personnelle et échappe au RGPD, ce qui veut dire qu’elle peut être partagée sans consentement du propriétaire.</p>
<p>Cette difficulté de trouver un compromis acceptable entre protection et utilité des données au travers de mécanismes d’anonymisation a fait évoluer les pratiques. De nouveaux paradigmes de protection des données personnelles ont vu le jour.</p>
<p>Une première tendance consiste à générer des <em>données synthétiques</em> reproduisant les mêmes propriétés statistiques que les vraies données.</p>
<p>Ces données générées de manière artificielle ne sont par conséquent pas liées à une personne et ne seraient plus encadrées par le RGPD. Un grand nombre d’entreprises voient en cette solution des promesses de partage d’information moins limitées. En pratique, les risques résiduels des modèles de génération synthétique ne sont pas négligeables et sont encore <a href="https://files.inria.fr/ipop/">à l’étude</a>.</p>
<p>Une autre solution limitant le risque de partage de données personnelles est l’<em>apprentissage fédéré</em>. Dans l’apprentissage machine conventionnel, les données sont centralisées par une entité pour entraîner un modèle.</p>
<p>Dans l’apprentissage fédéré, chaque utilisateur se voit attribuer un modèle qu’il entraîne localement sur ses propres données. Il envoie ensuite le résultat à une entité qui s’occupe d’agréger l’ensemble des modèles locaux. De manière itérative, cet apprentissage décentralisé permet de créer un modèle d’apprentissage sans divulguer de données personnelles.</p>
<p>Ce nouveau paradigme de protection des données personnelles suscite <a href="https://www.emergenresearch.com/industry-report/federated-learning-market">beaucoup d’engouement</a>. Cependant, plusieurs limitations subsistent, notamment sur la robustesse face aux acteurs malveillants qui souhaiteraient influencer le processus d’entraînement. Un participant pourrait par exemple modifier ses propres données pour que le modèle se <a href="https://www.lemonde.fr/pixels/article/2021/09/04/des-personnes-noires-confondues-avec-des-singes-par-un-algorithme-de-facebook_6093366_4408996.html">trompe lors d’une tâche de classification particulière</a>.</p><img src="https://counter.theconversation.com/content/201494/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Antoine Boutet ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Pour mieux protéger les données personnelles de tous ceux qui utilisent des appareils numériques, de nouvelles méthodes sont en développement.Antoine Boutet, Maitre de conférence, Privacy, IA, au laboratoire CITI, Inria, INSA Lyon – Université de LyonLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1999202023-02-28T18:14:33Z2023-02-28T18:14:33ZConcilier ubérisation et souveraineté numérique, un défi de taille<figure><img src="https://images.theconversation.com/files/512689/original/file-20230228-24-s410ow.jpg?ixlib=rb-1.1.0&rect=0%2C6%2C4256%2C2816&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">La protection des données personnelles est une question essentielle pour les travailleurs ubérisés. </span> <span class="attribution"><span class="source">Pexels</span></span></figcaption></figure><p>Alors que le conflit entre les chauffeurs VTC et les plates-formes semble tourner en faveur des travailleurs, après de nombreuses années de combat social et juridique (succession des <a href="https://www.liberation.fr/economie/transports/a-lyon-uber-condamne-aux-prudhommes-a-requalifier-les-contrats-de-139-chauffeurs-20230120_FA7LIO62FBBCDNZ3IBS65FQVKU/">requalifications en contrat de travail</a>, vote de la <a href="https://www.mediapart.fr/journal/international/020223/au-parlement-europeen-uber-et-deliveroo-perdent-une-bataille">présomption de salariat par le Parlement européen</a>), un nouveau combat relatif à la protection des données émerge, autour de la sécurisation des données personnelles et de la protection des droits numériques.</p>
<p>Pour les travailleurs « ubérisés », ces questions sont peu abordées car les débats autour de la présomption de salariat et la requalification en contrat de travail dominent. Cependant, le travail sur les plates-formes impose de traiter cette matière qui relève aujourd’hui du code du travail et fait partie intégrante du combat juridique de ces travailleurs face à des plates-formes qui triomphent aux dépens du droit du travail. Car si ces entreprises imposent un statut indépendant à des travailleurs subordonnés, elles ne sauraient faire exception à la violation des droits sociaux en ce qui concerne la protection de la vie privée et des libertés individuelles.</p>
<h2>Un travail de régulation indispensable</h2>
<p>Le 20 décembre 2018, la Commission nationale de l’informatique et des libertés (CNIL) condamne Uber à <a href="https://www.lesechos.fr/industrie-services/tourisme-transport/piratage-de-donnees-uber-mis-a-lamende-en-france-par-la-cnil-240511">400 000 euros d’amende</a> pour atteinte à la sécurisation des comptes des utilisateurs (clients et chauffeurs) en 2016, dont les données personnelles (nom, adresses mail, numéros de téléphone) avaient été piratées.</p>
<p>Cette sanction <a href="https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000037830841/">se justifie</a> par un « manque de précautions généralisé » étant donné que « le succès de l’attaque menée par les pirates a résulté d’un enchaînement de négligences ».</p>
<p>L’affaire <a href="https://www.clemi.fr/fr/ressources/nos-ressources-pedagogiques/ressources-pedagogiques/quand-les-donnees-personnelles-sechappent-laffaire-cambridge-analytica.html">Cambridge Analytica</a> a été, parmi d’autres facteurs, un accélérateur du travail de régulation effectué par l’UE, notamment à travers le <a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees">Règlement général sur la protection des données</a> (RGPD) – un texte qui encadre le traitement des données personnelles dans l’UE – qui <a href="https://www.channelnews.fr/considere-comme-insuffisamment-efficace-le-rgpd-va-etre-corrige-122531#.Y_uTJ65hiWs.twitter">sera peut-être corrigé prochainement</a>. </p>
<p>La souveraineté numérique est intimement liée à la capacité des États à protéger les droits sociaux par la régulation politique. Or, le gouvernement actuel fait preuve d’une <a href="https://twitter.com/EmmanuelMacron/status/852561494810251264">vision de la souveraineté numérique</a> conforme à celle des GAFAM, sans investissements et accompagnements suffisants pour les entreprises. Or, un contexte politique favorable à l’ubérisation est sans doute moins résistant face aux géants du web et des dangers qu’ils représentent pour la démocratie.</p>
<p>Cette vision n’est ni avantageuse pour la French tech, qui dépend toujours des GAFAM, ni protectrice pour les travailleurs de plates-formes qui, du fait de la dérégulation autorisée au nom de la croissance et du travail, mènent leurs activités dans des conditions précaires. A contrario, une politique de souveraineté numérique forte peut prendre la forme, par exemple, du <a href="https://hal.science/hal-03418333">coopérativisme de plates-formes</a>, mouvement alternatif a l’ubérisation. Ce modèle démocratique de la propriété partagée et de la gouvernance participative permet aux travailleurs de devenir actionnaires et de prendre contrôle de leurs conditions de travail et toute autre décision liée à leurs droits du travail.</p>
<p>Les plaintes déposées par la <a href="https://www.bfmtv.com/economie/nouvelle-plainte-contre-uber-concernant-son-utilisation-des-donnees-personnelles_AD-202009290248.html">Ligue des droits de l’Homme</a> et <a href="https://www.tf1info.fr/justice-faits-divers/deconnexions-de-chauffeurs-une-plainte-visant-uber-deposee-devant-la-cnil-2189032.html">par des chauffeurs VTC</a>) contre Uber pour non-respect du RGPD se sont multipliées ces dernières années.</p>
<p>Entre attaques pour refus de transfert des <a href="https://www.liberation.fr/france/2020/06/12/la-ligue-des-droits-de-l-homme-depose-plainte-contre-uber-devant-la-cnil_1791034/?redirected=1">données aux chauffeurs</a>, <a href="https://www.leparisien.fr/economie/les-chauffeurs-uber-ne-veulent-pas-que-leurs-donnees-partent-aux-etats-unis-20-02-2021-8425680.php">exportation et commercialisation des données</a>, et <a href="https://www.lemonde.fr/pixels/article/2021/06/17/des-chauffeurs-bannis-d-uber-portent-plainte-contre-l-application_6084549_4408996.html">suspension automatisée</a>, Uber est confronté depuis plusieurs années à un contre-mouvement international organisé par plusieurs acteurs de la société civile (juristes, syndicats, députés, chercheurs, journalistes).</p>
<p>En réponse, la plate-forme semble céder à certaines de ces réclamations en autorisant, par exemple, l’accès aux données d’utilisation des VTC qui en font la demande. Cependant, en ce qui relève de l’article 49 (transfert des données hors UE sans consentement des intéressés), et de l’article 22 (décision fondée sur un traitement automatisé) du RGPD, la plate-forme résiste encore pour deux raisons : d’une part, le transfert des données des chauffeurs est crucial pour le développement de la voiture autonome et d’autres projets de la plate-forme, et d’autre part, son modèle organisationnel est incompatible avec le RGPD puisqu’il est totalement automatisé et recourt très peu à des interventions humaines, alors que l’article 22 du RGPD interdit précisément cette forme de management algorithmique.</p>
<h2>La régulation : combat social et choix politiques</h2>
<p>Le sol européen est confronté à deux visions contradictoires. D’une part, la vision libérale attire les investissements étrangers grâce aux pressions politiques comme en témoignent les <em>Uberfiles</em> sur <a href="https://www.lemonde.fr/pixels/article/2022/07/10/uber-files-revelations-sur-le-deal-secret-entre-uber-et-macron-a-bercy_6134202_4408996.html">l’implication d’Emmanuel Macron dans le développement d’Uber</a> et aux avantages fiscaux dans le cadre de l’accord entre l’administration fiscale néerlandaise et Uber, permettant à cette dernière de <a href="https://www.lemonde.fr/pixels/article/2022/07/13/uber-files-quand-les-pays-bas-aidaient-uber-a-freiner-un-controle-fiscal_6134619_4408996.html">payer moins d’impôts</a>.</p>
<p>D’autre part, la vision réglementaire traduit une longue tradition régulatrice du continent concrétisée par des textes comme le RGPD et la <a href="https://ec.europa.eu/commission/presscorner/detail/en/ip_21_6605">Directive européenne sur l’amélioration des conditions de travail des travailleurs des plates-formes</a> qui a contribué à l’adoption de la présomption de salariat par le parlement européen.</p>
<p>Si les deux visions adressent la question de la souveraineté numérique de l’Europe, les stratégies déployées pour y parvenir sont paradoxales. Tout en prônant la souveraineté numérique (par l’investissement dans la Frenchtech, le développement d’infrastructures nationales, etc.) Emmanuel Macron soutient le développement d’Uber, ou décerne la Légion d’honneur à Jeff Bezos.</p>
<p>La régulation politique représente un véritable travail de terrain, sans cesse menacé par le lobbying des plates-formes et par des politiques libérales sur fond de culte entrepreneurial, défendant volontiers l’hypothèse selon laquelle l’IA serait le vecteur de solutions à des problèmes sociaux profonds. <a href="https://www.youtube.com/watch?v=OPNx6sPqkkE">Selon Emmanuel Macron</a>, « Notre défaite collective, c’est que les quartiers aujourd’hui où Uber embauche (Uber comme d’autres), ce sont des quartiers où nous on ne sait rien leur offrir ».</p>
<p>Le combat des chauffeurs VTC prouve qu’une instance de régulation telle que la CNIL et qu’un texte de référence tel que le RGPD, ne peuvent être pleinement efficaces sans des initiatives citoyennes ambitieuses, informées et transnationales, et un positionnement politique et institutionnel plaçant le droit du travail au centre de la question de la souveraineté numérique.</p>
<p>La coopération transnationale entre les autorités de régulation est importante à ce titre, comme l’a illustré le travail des CNIL européennes pour le traitement de <a href="https://twitter.com/CNIL_en/status/935918586304040962">l’affaire du piratage des comptes chez Uber</a>. Mais elle reste insuffisante dans un paysage politique qui continue à défendre le modèle d’affaires des plates-formes sous de nouvelles formes, <a href="https://www.lemonde.fr/idees/article/2022/12/04/uber-considere-les-travailleurs-comme-un-bricolage-temporaire-en-attendant-l-arrivee-des-voitures-autonomes_6152892_3232.html">comme le dispositif du dialogue social</a>, pour s’adapter aux pressions juridiques actuelles.</p><img src="https://counter.theconversation.com/content/199920/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Salma El Bourkadi ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Pour les travailleurs ubérisés, un nouveau combat relatif à la protection des données émerge, qui se heurte à de nombreux obstacles sociaux et politiques.Salma El Bourkadi, Docteure en Sciences de l'information et de la communication, Conservatoire national des arts et métiers (CNAM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1990382023-02-27T18:12:22Z2023-02-27T18:12:22ZExploitation des données : un changement de contrat social à bas bruit<figure><img src="https://images.theconversation.com/files/511913/original/file-20230223-2904-rvumv7.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Des systèmes technologiques supposés apolitiques ont un impact de plus en plus grand sur nos démocraties.</span> <span class="attribution"><a class="source" href="https://unsplash.com/fr/photos/gpjvRZyavZc">EV / Unsplash</a></span></figcaption></figure><p>Sélection à l’université, contenus mis en avant sur les réseaux sociaux, <a href="https://theconversation.com/la-justice-predictive-et-legalite-devant-la-loi-95116">justice</a> et <a href="https://theconversation.com/medecine-police-justice-lintelligence-artificielle-a-de-reelles-limites-170754">médecine prédictive</a>, <a href="https://theconversation.com/des-vehicules-autonomes-mais-pas-infaillibles-69106">véhicules autonomes</a>, surveillance des foules… Aujourd’hui les algorithmes sont <a href="https://arenes.fr/livre/algorithmes-la-bombe-a-retardement/">massivement utilisés</a> dans de nombreux pans de la vie politique, sociale et économique.</p>
<p>Les termes d’« algorithme », de « donnée » ou d’« intelligence artificielle » (IA) sont souvent assimilés à des mots magiques. Certains voient dans ces « outils » des êtres infaillibles, parfaitement rationnels et dont l’aide pourrait se révéler précieuse afin de déléguer certaines tâches – voire certaines responsabilités.</p>
<p>Mais la collecte massive des données et l’utilisation généralisée d’algorithmes constituent aussi une menace pour la société, la démocratie et <em>in fine</em> le contrat social, qui est pourtant <a href="https://www.cairn.info/revue-le-philosophoire-2005-2-page-167.htm">à la fondation de la conception moderne de l’État</a>. En échange d’un service (le plus souvent gratuit), les utilisateurs délèguent alors consciemment ou inconsciemment une partie de leur pouvoir de décision ainsi que la possibilité d’agir sur leurs choix et leurs opinions.</p>
<h2>L’aboutissement du culte de la raison</h2>
<p>Les systèmes d’IA sont construits de manière à pouvoir traiter d’immenses quantités de données. La finalité étant de faire les choix les plus avertis et objectifs possibles. Loin d’être une fatalité, ce déploiement à grande échelle répond à des choix politiques et à la mise en avant de ce que la chercheuse en sciences juridiques Antoinette Rouvroy nomme une <a href="https://theconversation.com/autour-de-linformatique-les-algorithmes-et-la-disparition-du-sujet-53515">« rationalité algorithmique »</a>.</p>
<p>[<em>Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd’hui</a>]</p>
<p>Héritières de la révolution scientifique et philosophique du XVII<sup>e</sup> siècle, nos sociétés occidentales se sont construites autour des notions de liberté et de progrès. Dans son <a href="https://gallica.bnf.fr/essentiels/condorcet/esquisse-tableau-historique-progres-esprit-humain"><em>Esquisse d’un tableau historique de l’esprit humain</em> (1793)</a>, Condorcet proclamait ainsi l’harmonie entre l’émancipation de l’être humain et le développement technique.</p>
<p>Sur le plan politique, la théorie du contrat social se fonde sur les idées de liberté, de démocratie et de vie privée. Toutes les perspectives du <a href="http://classiques.uqac.ca/classiques/hobbes_thomas/leviathan/leviathan_partie_1/leviathan_1e_partie.pdf">contrat social</a> cherchent à comprendre les raisons pour lesquelles des individus échangeraient une part de leur liberté contre un ordre politique. Le <a href="http://classiques.uqac.ca/classiques/Rousseau_jj/contrat_social/Contrat_social.pdf">contrat social</a> présuppose donc l’existence d’agents rationnels qui se réunissent par intérêt.</p>
<p>Dès lors, quoi de plus rationnel que la gestion de divers secteurs par l’intelligence artificielle ?</p>
<p>Dans cette conception, l’être humain est vu comme faillible face à une IA infaillible car fondée sur des « données » considérées comme des objets mathématiques. L’avènement d’une <a href="https://www.cairn.info/revue-reseaux-2013-1-page-163.htm">« gouvernementalité algorithmique »</a> – les décisions se fondent désormais sur le traitement des données plutôt que sur la politique, le droit ou les normes sociales – rendrait enfin possible le règne de la raison.</p>
<p>Ainsi, toute décision deviendrait irréfutable car elle serait appuyée sur des arguments statistiques. C’est oublier les nombreux <a href="https://theconversation.com/emploi-securite-justice-dou-viennent-les-biais-des-ia-et-peut-on-les-eviter-154579">biais qui existent dans la saisie des données et dans leur exploitation par des algorithmes</a>.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/k5OYjWLaA3Q?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Les nouveaux pouvoirs à l’ère de l’intelligence artificielle Asma Mhalla.</span></figcaption>
</figure>
<p>La logique du contrat social (notamment depuis la révolution industrielle puis le développement de l’État providence au XX<sup>e</sup> siècle) était une logique assurantielle. Ignorant le futur, les individus avaient intérêt à s’assurer collectivement contre le risque. Désormais, le développement de l’analyse prédictive rend caduque cette version du contrat. Les offres d’assurances peuvent être adaptées aux risques précis que chacun encourt.</p>
<p>Les géants du numérique connaissent nos préférences, nos opinions, nos envies et nous enferment dans ce que l’essayiste Eli Pariser nomme une <a href="https://www.penguin.co.uk/books/181850/the-filter-bubble-by-pariser-eli/9780241954522">« bulle de filtre »</a>. Le contenu en accord avec nos idées y est surreprésenté et les avis contradictoires y font défaut, augmentant alors la diffusion des fake news – <a href="https://www.science.org/doi/full/10.1126/sciadv.aau4586">à plus fort potentiel de réactions et donc de diffusion</a>. Nous partageons dès lors de moins en moins de vérités et d’expériences communes, pourtant nécessaires au fonctionnement de la démocratie.</p>
<h2>Troquer la démocratie contre des app</h2>
<p>En analysant nos données pour prédire notre comportement, le capitalisme devient un <a href="https://www.zulma.fr/livre/lage-du-capitalisme-de-surveillance/">« capitalisme de surveillance »</a> pour reprendre les mots de l’universitaire Shoshana Zuboff. Pour ces entreprises, les individus ne sont plus des clients mais des produits pour les annonceurs. Le philosophe <a href="http://www.editionslesliensquiliberent.fr/livre-Dans_la_disruption-484-1-1-0-1.html">Bernard Stiegler explique</a> ainsi que les individus se sont transformés en « fournisseurs de data ». Déjà individualisés, ils sont en outre désindividués : leurs données permettent de les déposséder de leur volonté.</p>
<p>A titre d’exemple, le fait que nous sommes exposés à de publicité ciblée témoigne d’une anticipation de nos désirs. Nous ne savons plus réellement si nous avons désiré l’objet que nous avons acheté puisqu’il nous a été montré avant même que nous l’ayons désiré. Notre désir est automatisé.</p>
<figure class="align-center ">
<img alt="Femme absorbée par son écran de téléphone" src="https://images.theconversation.com/files/511901/original/file-20230223-26-thmd3r.jpg?ixlib=rb-1.1.0&rect=34%2C0%2C3794%2C2494&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/511901/original/file-20230223-26-thmd3r.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=395&fit=crop&dpr=1 600w, https://images.theconversation.com/files/511901/original/file-20230223-26-thmd3r.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=395&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/511901/original/file-20230223-26-thmd3r.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=395&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/511901/original/file-20230223-26-thmd3r.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=497&fit=crop&dpr=1 754w, https://images.theconversation.com/files/511901/original/file-20230223-26-thmd3r.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=497&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/511901/original/file-20230223-26-thmd3r.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=497&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Des systèmes technologiques supposés apolitiques ont un impact de plus en plus grand sur nos démocraties.</span>
<span class="attribution"><a class="source" href="https://unsplash.com/fr/photos/hJ5uMIRNg5k">Mahdis Mousavi/Unsplash</a></span>
</figcaption>
</figure>
<p>Accoutumés au progrès technique, les individus se sont habitués à un environnement où la quête du confort, de la rapidité, du divertissement, permet la généralisation et la pérennisation de systèmes techniques invasifs, <a href="https://theconversation.com/la-reconnaissance-faciale-du-deverrouillage-de-telephone-a-la-surveillance-de-masse-184484">au détriment de certaines libertés fondamentales</a> (droit à la vie privée, à l’anonymat, à l’indépendance de la pensée…), garanties de nos sociétés démocratiques.</p>
<p>En fournissant nos données, nous transférons une partie de notre libre arbitre et la faculté d’agir sur nos opinions jusqu’à <a href="https://theconversation.com/comment-lusage-de-vos-donnees-peut-influencer-les-elections-140001">influencer des élections</a>. Le cas de <a href="https://journals.openedition.org/conflits/19779">Cambridge Analytica</a> a été le plus médiatisé : il a montré au monde la capacité de manipulation politique que possédaient les réseaux sociaux dans des élections aussi déterminantes que la présidentielle Américaine de 2016 ou le référendum britannique sur l’appartenance à l’Union européenne la même année. <a href="https://www.lemonde.fr/pixels/article/2020/03/11/christopher-wylie-cambridge-analytica-a-ferme-mais-ses-tactiques-n-ont-pas-disparu_6032552_4408996.html">Si l’entreprise a été fermée en 2018, rien n’a véritablement changé</a>.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/pister-son-enfant-avec-une-appli-une-fausse-bonne-idee-126401">Pister son enfant avec une appli, une fausse bonne idée</a>
</strong>
</em>
</p>
<hr>
<p>Ciblés par les annonceurs, individualisés et profilés par les assureurs, influencés politiquement et soumis aux décisions opaques et arbitraires d’algorithmes, nous nous isolons et ne partageons plus la volonté générale que Rousseau définit comme la somme des volontés particulières et considère comme préalable au sentiment de société.</p>
<h2>Politiser la question de l’usage des technologies</h2>
<p>Ce changement de contrat se fait à bas bruit et les individus peuvent alors être victimes d’usages abusifs de leurs données par ces systèmes technologiques supposés apolitiques. <a href="https://theconversation.com/comment-lintelligence-artificielle-reproduit-et-amplifie-le-racisme-167950">D’autant plus s’ils sont déjà victimes de discriminations</a>.</p>
<p>La technologie semble toujours se situer hors du débat politique et s’imposer aux sociétés qui n’ont d’autre choix que l’acceptation (plus ou moins partielle). Conscients des risques, les parlements et les institutions internationales se mettent à légiférer sur la question, à rédiger des chartes éthiques, des règlements. C’est le cas des divers règlements européens dont le règlement général sur la protection des données (<a href="https://theconversation.com/fr/topics/rgpd-54271">RGPD</a>) est le plus connu.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/comment-anonymiser-des-donnees-personnelles-199922">Comment anonymiser des données personnelles ?</a>
</strong>
</em>
</p>
<hr>
<p>Pourtant, ces questions restent souvent très techniques et juridiques, excluant d’emblée les individus qui subissent les dommages causés par le traitement de leurs données (ciblage, amoindrissement du libre arbitre, discriminations, surveillance, notation, influence…).</p>
<p>Pour Rousseau, seuls des individus libres peuvent construire une société libre. Or, le manque de recul critique et d’une prise de conscience des enjeux du numérique ainsi que l’absence d’une éducation numérique menacent les fondements de nos sociétés démocratiques. Il serait nécessaire de politiser la question, que les citoyens se saisissent de ces sujets et en débattent afin de dessiner ensemble les contours d’un futur technologique enviable pour et par tous.</p><img src="https://counter.theconversation.com/content/199038/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Adrien Tallent a reçu des financements de SNCF Réseau dans le cadre d'un contrat doctoral CIFRE. </span></em></p>L’exploitation des données dans de nombreux domaines mine les fondements de la démocratie.Adrien Tallent, Doctorant en philosophie politique et éthique, Sorbonne UniversitéLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1950282022-12-07T16:43:13Z2022-12-07T16:43:13ZCybercrime : les magistrats peuvent-ils accéder aux preuves sur un téléphone portable ?<p>Arnaques et escroqueries à <a href="https://www.francetvinfo.fr/economie/emploi/carriere/formation/droit-a-la-formation/arnaque-une-vaste-escroquerie-au-compte-professionnel-de-formation-demantelee_5483421.html">Mon Compte Formation</a>, <a href="https://theconversation.com/cyberattaques-des-hopitaux-que-veulent-les-hackers-192407">cyberattaques d’hôpitaux</a>, <a href="https://www.gendinfo.fr/enquetes/2022/les-enqueteurs-du-comcybergend-tarissent-la-drugsource#.Y0pdVJPsFQ0.twitter">trafic de stupéfiants</a> sur le dark web… Les vols de données de grande ampleur et la délinquance sur Internet se multiplient. La valeur de <a href="https://theconversation.com/que-font-les-hackers-de-vos-donnees-volees-171032">nos données à caractère personnel</a> est devenue tellement faible (<a href="https://www.privacyaffairs.com/dark-web-price-index-2022/">20 dollars pour 10 millions d’adresses e-mails américaines</a>) que seule une collecte massive de celles-ci est financièrement intéressante pour les délinquants.</p>
<p>De l’autre côté du spectre, les pouvoirs publics chassent ces criminels mais dans le cyber-espace les preuves permettant d’identifier l’auteur et l’infraction sont par nature immatérielles, intangibles. Elles sont des traces informatiques (conversations sur les réseaux sociaux, applications, contacts, e-mails, etc.) souvent supprimées de son téléphone ou ordinateur par le délinquant. Comment alors identifier l’auteur de l’infraction et la matérialité des faits reprochés ? Refuser de déverrouiller son téléphone mobile est-il répréhensible ? Quel code appliquer en cas de cybercrime ?</p>
<h2>Le cybercrime : une réalité protéiforme</h2>
<p>Nombreuses sont les infractions commises par l’intermédiaire des systèmes d’information (ensemble des ressources permettant le stockage, le traitement et la diffusion d’informations sur nos téléphones, ordinateurs et tablettes) ou visant ces derniers telles que le <a href="https://theconversation.com/rancongiciels-vos-donnees-en-otage-159975">rançongiciel</a>. Les <a href="https://www.legifrance.gouv.fr/codes/id/LEGISCTA000006149839/">sanctions pénales</a> ne dissuadent pas les cyber-délinquants.</p>
<p>[<em>Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd’hui</a>]</p>
<p>C’est d’ailleurs ce constat qui ouvre le chapitre « Lutte contre la cybercriminalité » du nouveau <a href="https://www.efl.fr/actualite/video-zoom-code-cybersecurite_f06a5e6d9-af71-4d6b-ab7e-6b82d01dc230">code de la cybersécurité</a>.</p>
<p>Cet ouvrage rassemble des éléments relatifs à la cybercriminalité jusqu’ici disparates parce qu’issus de plusieurs codes : code pénal, code de procédure pénale, code des douanes, code de commerce, code de la consommation, code des postes et des communications électroniques, code de la propriété intellectuelle, code de la défense, code monétaire et financier, code de la sécurité intérieure.</p>
<p>Le numérique pose de nombreuses difficultés aux juges puisque l’auteur est difficile à identifier et localiser mais aussi en raison de l’<a href="https://www.larousse.fr/dictionnaires/francais/ips%C3%A9it%C3%A9/44209">ipséité</a>, ce qui est propre à l’identité de chacun, de la preuve numérique qui est volatile et multiplie les difficultés de recueil et de conservation de ces données.</p>
<h2>Identifier l’auteur d’une infraction grâce aux données de connexion</h2>
<p>Comment alors identifier l’auteur d’une infraction numérique ? Grâce aux données de connexion. Cela est rendu possible par l’obligation de conservation des données de connexion qui incombe aux fournisseurs d’accès à Internet, aux hébergeurs et aux opérateurs à des fins de lutte contre les infractions (loi pour la confiance dans l’économie numérique, <a href="https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000045292730">art.6</a> ; code des postes et des communications électroniques, révisé en 2021, <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000028345210">art.L34-1</a>). Les données peuvent donc être requises par l’autorité judiciaire.</p>
<p>Ces solutions, issues de <a href="https://www.editions-legislatives.fr/actualite/du-nouveau-sur-la-conservation-des-donnees-de-connexion/">trois décrets</a> pris en 2021, reflètent la recherche d’un équilibre visant à préserver la liberté des internautes suite à l’action coordonnée de plusieurs associations de défense des libertés individuelles (Conseil d’État, French Data Network et autres, <a href="https://www.actu-juridique.fr/ntic-medias-presse/larret-french-data-network-et-autres-du-conseil-detat-du-21-avril-2021-et-la-conservation-des-donnees-de-connexion/">21 avril 2021</a>).</p>
<p>Les données de trafic sont celles qui établissent les contacts qu’une personne a eus par téléphone ou SMS, la date et l’heure de ces contacts et la durée de l’échange. Les données de localisation permettent de connaître les zones d’émission et de réception d’une communication passée avec un téléphone mobile identifié et d’obtenir la liste des appels ayant borné à la même antenne relais. On parle de « fadettes » (pour factures détaillées) dans le jargon policier.</p>
<p>Ajoutons que l’étape du déchiffrement des données peut ralentir l’enquête.</p>
<p>Le code pénal adapté en 2004 prévoit que le recours à un moyen de cryptologie pour préparer ou commettre un délit ou un crime (ou le faciliter) est un facteur aggravant de l’infraction principale (<a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006417506">art.132-79</a>). On entend par moyen de cryptologie :</p>
<blockquote>
<p>« Tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité. »</p>
</blockquote>
<p>Ces peines ne sont pas applicables à l’auteur ou au complice de l’infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement.</p>
<h2>Refuser de communiquer ses codes d’accès peut-être un délit</h2>
<p>Le chiffrement est une technique répandue. Mais le simple fait de verrouiller son téléphone portable, son ordinateur, est-il un moyen de cryptologie, une convention secrète ? Si tel est le cas, le refus par un suspect de fournir les codes de déverrouillage des appareils en sa possession est une infraction.</p>
<p>En effet, le refus de remettre cette convention aux autorités judiciaires ou de la mettre en œuvre sur réquisition de ces autorités est puni de trois ans d’emprisonnement et de 270 000 euros d’amende. Le code pénal ajoute que :</p>
<blockquote>
<p>« Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 euros d’amende » (<a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032654251">art.434-15-2</a>).</p>
</blockquote>
<p>Autrement dit, refuser de communiquer le code de déverrouillage d’un téléphone mobile en tant que convention secrète est pénalement répréhensible.</p>
<p>Or, ce déverrouillage permet ensuite l’accès aux données contenues par le téléphone, notamment les messageries. Une telle possibilité a donc été vivement critiquée au motif qu’elle porterait atteinte au droit au silence et au droit de ne pas contribuer à sa propre incrimination posé par le Pacte international relatif aux droits civils et politiques (Assemblée générale des Nations Unies et ratifiée par la France, <a href="https://www.ohchr.org/fr/instruments-mechanisms/instruments/international-covenant-civil-and-political-rights">art. 14</a>).</p>
<p>En matière de preuve numérique, la frontière entre technique d’enquête et atteinte à la vie privée semble ténue. C’est cette apparente contradiction que la Cour de cassation a résolue en Assemblée plénière dans sa <a href="https://www.courdecassation.fr/toutes-les-actualites/2022/11/07/code-de-deverrouillage-dun-ecran-de-telephone-et-cryptologie">décision du 7 novembre 2022</a>.</p>
<p>La Cour énonce clairement que le refus de communiquer le code de déverrouillage d’un téléphone portable peut constituer un délit. Dans cette affaire, une personne arrêtée dans le cadre d’une enquête de flagrance pour possession de stupéfiants avait refusé, pendant sa garde à vue, de donner aux enquêteurs les codes permettant de déverrouiller deux téléphones susceptibles d’avoir été utilisés. Initialement relaxée en correctionnelle, la chambre criminelle de la Cour de cassation en avait décidé autrement en retenant la qualification délictuelle. Parce qu’elle ne fut pas suivie par la Cour d’appel de renvoi en 2021, l’affaire est revenue en Assemblée plénière. La clé de déverrouillage de l’écran d’accueil d’un smartphone est bien une convention secrète de déchiffrement.</p>
<h2>Une évolution de la loi</h2>
<p>En conclusion, si un téléphone portable est doté de moyens de chiffrement (c’est le cas aujourd’hui de la plupart des téléphones portables) et qu’il est susceptible d’avoir été utilisé pour la préparation ou la commission d’un crime ou d’un délit, son détenteur, qui aura été informé des conséquences pénales d’un refus, est tenu de donner aux enquêteurs le code de déverrouillage de l’écran d’accueil.</p>
<p>Néanmoins, le substitut du procureur général de la Cour d’appel de Caen, David Pamart alerte : </p>
<blockquote>
<p>« On est encore loin de prononcer le maximum prévu en termes de sanctions : 4 à 5 mois d’emprisonnement avec sursis et 5 000 euros d’amende alors qu’aux États-Unis c’est la prison ferme pour deux ou trois ans ! »</p>
</blockquote>
<p>Cette situation devrait évoluer avec l’adoption d’un amendement adopté lors des débats sur le <a href="https://www.assemblee-nationale.fr/dyn/16/amendements/0343/CION_LOIS/CL727">projet de loi d’orientation et de programmation</a> du Ministère de l’Intérieur et visant à aggraver les peines encourues en cas d’infraction commise à l’encontre d’un système de traitement automatisé de données. Jusqu’ici, les infractions d’accès et de maintien frauduleux dans un système de traitement automatisé de données sont punies que de deux ans d’emprisonnement et 60 000 euros d’amende.</p>
<p>Or, l’étendue des actes d’investigation réalisables en enquête préliminaire est régie par le <a href="https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006071154/LEGISCTA000006151877/#LEGISCTA000006151877">code de procédure pénale</a> et dépend de la qualification de l’infraction retenue (par exemple un crime ou un délit puni d’au moins trois ans d’emprisonnement). Ce nouvel amendement propose justement de porter la peine d’emprisonnement encourue à trois ans afin de pouvoir procéder à davantage d’actes d’enquête, comme des perquisitions ou une géolocalisation (<a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000039279525?idSecParent=LEGISCTA000006138089">art.76 al.4</a> du code de procédure pénale).</p><img src="https://counter.theconversation.com/content/195028/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Nathalie Devillier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>En matière de preuve numérique, la frontière entre technique d’enquête et atteinte à la vie privée semble ténue.Nathalie Devillier, Professeur Associée, Kedge Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1958412022-12-06T19:05:54Z2022-12-06T19:05:54ZNetflix, Amazon, Tesla… Derrière les modèles d’abonnements et de location, les déboires des clients<figure><img src="https://images.theconversation.com/files/498677/original/file-20221202-15-zhfn25.jpg?ixlib=rb-1.1.0&rect=262%2C19%2C928%2C743&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Les services en ligne contribuent notamment à accroître le niveau de dépenses contraint des ménages.
</span> <span class="attribution"><a class="source" href="https://pixnio.com/media/banknote-cash-cost-investment-loan">Bicanski/Pixnio</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Les années 2010 ont consacré l’âge de l’accès : fût-ce à travers l’abonnement ou la location, les consommateurs ont progressivement pris l’habitude – et même décidé – de se passer des droits de propriété que leur transférait le producteur à l’achat d’un bien. En d’autres termes, la <a href="https://journals.sagepub.com/doi/abs/10.1509/jm.15.0109">valeur d’usage</a> des biens et services a progressivement supplanté la valeur d’échange de ces derniers.</p>
<p>Se sont ainsi développés des services aussi divers que ceux de streaming audio ou vidéo (location d’un catalogue auquel l’accès ne tient que tant que l’utilisateur est abonné au service – Netflix, Spotify, Deezer, etc.), l’accès à un véhicule à tout moment (Uber), à des vêtements (le Closet, Rent the Runway), ou même la location de couches lavables (Popopidoux, Coco couche).</p>
<p>Au-delà de l’accès au bien lui-même a aussi émergé, grâce à l’<a href="https://theconversation.com/fr/topics/internet-des-objets-21322">Internet des Objets</a> (IoT pour « Internet of Things »), qui renvoie à la connectivité dont peut être doté tout type d’objet afin de se connecter à d’autres objets ou systèmes applicatifs), un accès de plus en plus fin à certaines caractéristiques du bien.</p>
<h2>Revenus récurrents</h2>
<p>Cela a généré de nouveaux types de <em>business models</em>, directement inspirés du fonctionnement des smartphones et de leurs écosystèmes d’applications mobiles (j’achète mon smartphone, et j’achète ensuite auprès du fabricant ou d’autres entreprises des applications qui vont en démultiplier sa valeur d’usage). Par exemple, les <a href="https://www.lesechos.fr/industrie-services/automobile/automobile-la-revolution-des-options-a-la-demande-1880240">constructeurs automobiles</a> proposent maintenant des options à la demande disponibles uniquement sur abonnement : le client achète son véhicule, et peut ensuite décider s’il active ou non les sièges ou le volant chauffants, l’auto-pilote, etc.</p>
<p>Ce type de modèle économique comporte de multiples avantages. Pour les entreprises, tout d’abord, il permet de sécuriser des revenus récurrents et complémentaires (l’argent continue à rentrer après la vente du bien). Les clients, quant à eux, peuvent tester des options, en vérifier l’adéquation à leurs besoins (usages), et enrichir progressivement leur bien selon l’évolution de leurs revenus ou du progrès technique (achat ultérieur d’options inabordables ou inexistantes au moment de l’achat).</p>
<p>Enfin, l’environnement a également à y gagner : une simple mise à jour durant la vie du produit permet de l’améliorer, d’en prolonger l’existence ou d’en rectifier d’éventuels défauts sans nécessairement devoir le remplacer, ce qui est bien plus écologique.</p>
<h2>Au secours, ma porte ne me laisse plus sortir !</h2>
<p>Décrits de la sorte, de tels produits et modèles économiques semblent une panacée, au vu des problèmes que permet indéniablement de résoudre l’accroissement de leur valeur d’usage. Toutefois, ils portent en leur sein de nombreuses limites, dont certaines restent fortement sous-estimées. Or, ces dernières peuvent être à l’origine de ce que nous avions qualifié, dans un article de recherche publié en 2017, de <a href="https://journals.sagepub.com/doi/abs/10.1177/2394964317726451?journalCode=jcva">destruction de valeur</a> pour le client.</p>
<p>En premier lieu, les clients ne sont pas tous prêts à entendre que le produit qu’ils ont acheté est complet, mais qu’ils ne peuvent en retirer le plein usage qu’à condition de payer à nouveau – et ce, potentiellement pendant toute la durée de vie du produit. Outre que ce point n’est pas toujours d’une immense clarté à l’achat, cela contribue à accroître le niveau de dépenses contraint, non sans conséquences sur le pouvoir d’achat et le niveau d’endettement des consommateurs.</p>
<p>Ensuite, ceci provoque un changement radical de la relation entre un client et son fournisseur. En dépit d’un transfert des droits de propriété du second au premier, ces modèles économiques créent des asymétries en donnant un pouvoir très fort au fournisseur.</p>
<p>[<em>Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd’hui</a>]</p>
<p>Philippe K. Dick l’illustre à la perfection dans son roman <em>Ubik</em>. Écrit en 1966 et publié en 1969 aux États-Unis, il y décrit la situation ubuesque de Joe Chip, un technicien dont l’endettement est tel qu’il ne peut plus sortir de chez lui, n’ayant plus les crédits nécessaires au paiement de chaque ouverture et fermeture de la porte de son logement. S’ensuit un dialogue savoureusement saugrenu entre lui et… sa porte, celle-ci étant automatisée et dotée de parole (et de capacité de prise de décision) grâce à une intelligence artificielle.</p>
<p>Surréaliste ? Tiré par les cheveux ? Vraisemblablement pas, quand on sait que <a href="https://www.theverge.com/2020/2/6/21127243/tesla-model-s-autopilot-disabled-remotely-used-car-update">Tesla a déjà retiré à distance</a>, en 2020, une fonctionnalité d’autopilote à un propriétaire ayant acheté son véhicule d’occasion, au motif qu’il n’avait pas payé le constructeur pour cette fonctionnalité lors de l’achat à l’ancien propriétaire – lequel en avait pourtant fait l’acquisition.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/498680/original/file-20221202-25-yz54vc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/498680/original/file-20221202-25-yz54vc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/498680/original/file-20221202-25-yz54vc.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/498680/original/file-20221202-25-yz54vc.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/498680/original/file-20221202-25-yz54vc.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/498680/original/file-20221202-25-yz54vc.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/498680/original/file-20221202-25-yz54vc.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">En 2020, le constructeur Tesla avait retiré à distance une fonctionnalité d’autopilote à un propriétaire de véhicule.</span>
<span class="attribution"><a class="source" href="https://fr.m.wikipedia.org/wiki/Fichier:Tesla,_Paris_Motor_Show_2018,_Paris_%281Y7A1919%29.jpg">Matti Blume/Wikimedia</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span>
</figcaption>
</figure>
<p>De même, <a href="https://theconversation.com/fr/topics/amazon-40118">Amazon</a> a, par le passé, <a href="https://www.zdnet.com/article/why-amazon-is-within-its-rights-to-remove-access-to-your-kindle-books/">supprimé des ouvrages</a> des Kindle (liseuse électronique) de certains clients. La question est donc de savoir jusqu’où peuvent aller des entreprises dont les revenus reposent sur ces modèles économiques.</p>
<p>Ces transformations s’accompagnent donc d’une double nécessité. Tout d’abord, plus de transparence et de clarté de la part des entreprises. Elles ne doivent plus se limiter à une accumulation de pages de conditions d’utilisation, formulées en des termes abscons dans lesquelles se noient leurs clients, mais à l’inverse expliquer clairement jusqu’où elles peuvent aller en termes de modification du produit après son achat – ou durant sa location.</p>
<h2>Situations invraisemblables</h2>
<p>Cependant, cette transparence ne pourra faire l’économie d’un accroissement simultané de la régulation, qui semble indispensable pour au moins deux raisons. La première, pour éviter des situations aussi extrêmes et (en apparence) invraisemblables que celle vécue par Joe Chip, dont on ne peut pourtant s’empêcher de penser qu’elles pourraient bien survenir un jour.</p>
<p>Imaginons un immeuble en feu qui refuserait de laisser sortir ses occupants au prétexte qu’ils n’auraient pas de quoi payer l’ouverture de leur porte ! La seconde raison relève de <a href="https://www.lesechos.fr/thema/mobilites-innovations/voitures-connectees-is-big-brother-watching-you-1140451">l’accès aux données personnelles</a> sur lesquelles s’appuient les entreprises pour leurs offres actuelles et futures, et qui renseignent sur le comportement, les préférences, les usages, etc. de leurs clients.</p>
<p>Outre les <a href="https://theconversation.com/series-et-sport-en-streaming-quand-labondance-doffres-encourage-le-piratage-114754">risques liés à des piratages</a> ou fuites, ces <a href="https://theconversation.com/fr/topics/donnees-personnelles-24311">données</a> utilisées dans le cadre de modèles économiques reposant sur l’usage doivent faire l’objet d’une protection accrue, et être rendues aux clients lorsqu’ils les réclament, au risque que les entreprises ne s’en servent pour encore plus enfermer leurs clients au sein de leur écosystème d’usage – posant de gros problèmes de concurrence. Il suffit de changer (ou d’essayer de changer) de service de streaming musical et de vouloir refaire ses playlists ou autres listes d’albums pour saisir la nature du problème.</p><img src="https://counter.theconversation.com/content/195841/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Loïc Plé ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les plates-formes proposant l’accès plutôt que la possession font florès dans tous les secteurs. Mais leurs avantages cachent de nombreuses limites, dont la portée reste largement sous-estimée.Loïc Plé, DIrecteur de la Pédagogie - Full Professor, IÉSEG School of ManagementLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1910462022-09-23T09:44:32Z2022-09-23T09:44:32ZDonnées de santé, de fertilité, de localisation… Les craintes post-Roe inédites et légitimes des Américaines<p>La <a href="https://theconversation.com/fin-du-droit-a-lavortement-aux-etats-unis-moins-de-democratie-plus-de-religion-184914">révocation de l’arrêt Roe v. Wade par la Cour suprême américaine</a>, le 24 juin dernier, est un moment décisif dans la politique américaine. Cette décision retire les protections constitutionnelles du droit à l’avortement et renvoie la question aux États, dont la <a href="https://www.lemonde.fr/international/article/2022/06/24/droit-a-l-avortement-ces-etats-americains-susceptibles-d-interdire-l-ivg_6124636_3211.html">moitié environ devrait l'interdire</a>.</p>
<p>La dernière fois que l’avortement était illégal aux États-Unis, c’était il y a près d’un demi-siècle… L’époque a changé. Nous vivons désormais dans une ère de surveillance numérique généralisée, rendue possible par le développement d'Internet et des téléphones portables.</p>
<p>Or ces données numériques, surtout les plus personnelles, pourraient bien aujourd’hui être utilisées pour identifier, suivre et incriminer les femmes qui demandent un avortement.</p>
<p>Depuis une vingtaine d’années, les grandes entreprises technologiques, les opérateurs d’applications mobiles, les <a href="https://www.cnil.fr/fr/la-cnil-lance-une-etude-sur-les-donnees-de-geolocalisation-collectees-par-des-applications-mobiles">« Data brokers » ou courtiers en données</a> et les sociétés de publicité en ligne ont mis en place un système complet pour collecter, analyser et partager d’énormes quantités de données – nos données normalement « privées ». Les entreprises peuvent ainsi <a href="https://www.wired.com/story/groups-call-ethical-guidelines-location-tracking-tech/">suivre chacun de nos mouvements</a>, <a href="https://techcrunch.com/2022/01/13/joint-statement-surveillance-ads-inferred-data/">établir le profil de notre comportement</a> et <a href="https://theconversation.com/ai-is-increasingly-being-used-to-identify-emotions-heres-whats-at-stake-158809">fouiner dans nos émotions</a>.</p>
<p>Jusqu’à présent, ce système a surtout été utilisé pour nous vendre des choses. Mais à la suite de l’arrêt rendu l’été dernier, nombreux sont ceux qui craignent que, désormais, les données personnelles ne soient utilisées pour surveiller les grossesses, puis partagées avec les services répressifs ou vendues à des « justiciers » autodésignés.</p>
<p>(<em>De premières dérives ont été identifiées. La Federal Trade Commission, agence indépendante du gouvernement des États-Unis chargée du respect du droit de la consommation, a intenté une action en justice contre Kochava Inc. le 29 août 2022. <a href="https://theconversation.com/ftc-lawsuit-spotlights-a-major-privacy-risk-from-call-records-to-sensors-your-phone-reveals-more-about-you-than-you-think-189618">La société est accusée de vendre des données de géolocalisation provenant de centaines de millions d’appareils mobiles qui, en l’occurrence, peuvent être utilisées pour « identifier des consommateurs qui ont visité des cliniques de santé reproductive »</a>, ndlr.</em>)</p>
<h2>Des données partout, sur tout</h2>
<p>Il existe diverses sources de données qui pourraient être utilisées pour identifier, suivre et poursuivre les femmes soupçonnées de vouloir avorter.</p>
<p>Google, par exemple, partage régulièrement des informations privées sur ses utilisateurs avec les forces de l’ordre, <a href="https://www.cnet.com/news/privacy/google-is-giving-data-to-police-based-on-search-keywords-court-docs-show/">même sans mandat</a>. Dans ce cas, il pourrait s’agir de <a href="https://www.fastcompany.com/90468030/how-an-online-search-for-abortion-pills-landed-this-woman-in-jail">mots-clés utilisés lors de recherche en ligne et qui pourraient être utilisés comme preuves</a> par des agences qui enquêtent ou poursuivent des affaires liées à un avortement.</p>
<p>La surveillance en ligne peut également porter sur les données de localisation. La police américaine <a href="https://www.theguardian.com/us-news/2021/sep/16/geofence-warrants-reverse-search-warrants-police-google">utilise déjà les données de localisation</a> des appareils mobiles pour recueillir des preuves contre des criminels présumés. (<em>À noter que Google a annoncé qu’il allait <a href="https://theconversation.com/what-you-need-to-know-about-surveillance-and-reproductive-rights-in-a-post-roe-v-wade-world-185933">supprimer les historiques de localisation de ses utilisateurs qui se rendent chez des prestataires de soins d’avortement</a>, ndlr.</em>)</p>
<p>De plus, de nombreuses applications mobiles suivent votre localisation et la partagent avec des courtiers en données (Data brokers). Ces derniers les vendent ensuite à une myriade de tiers inconnus, <a href="https://www.vice.com/en/article/epdpdm/ice-dhs-fbi-location-data-venntel-apps">y compris les services de police</a>. Cela se produit même lorsque les gens ont <a href="https://www.vice.com/en/article/5dgmqz/huq-location-data-opt-out-no-consent">refusé la collecte de données de localisation</a>. Cette technologie pourrait être utilisée pour suivre les déplacements des femmes et signaler lorsqu’elles se sont rendues à proximité d’un centre d’avortement… ou simplement dans un autre État où l’avortement est légal.</p>
<p>[<em>Plus de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd’hui</a>]</p>
<h2>L’indiscrétion des réseaux sociaux</h2>
<p>L’activité des réseaux sociaux et les données collectées par ces plates-formes tentaculaires peuvent aussi être utilisées pour déduire si une personne est enceinte… ou si elle souhaiterait se faire avorter.</p>
<p><a href="https://revealnews.org/article/facebook-data-abortion-crisis-pregnancy-center/">Une enquête menée cet été</a> a montré que des centaines de « centres de crise de la grossesse » (similis cliniques dont l’objectif est en fait de dissuader les femmes d’avorter), installés partout aux États-Unis, partageaient avec Facebook des informations sur les personnes qui avaient parfois simplement consulté leur site web. Dans certains cas, leur nom et adresse ainsi que le fait qu’une femme envisagerait d’avorter étaient accessibles.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1540352807743660033"}"></div></p>
<p>L’enquête a également montré que les organisations antiavortements ont pu avoir accès à certaines de ces informations. Si l’avortement devient un crime, ces informations pourraient être utilisées dans le cadre de procédures judiciaires.</p>
<h2>La délicate question des applications de suivi menstruel</h2>
<p>Des <a href="https://theconversation.com/fiabilite-securite-ethique-quels-risques-derriere-les-failles-des-applications-de-suivi-menstruel-190115?notice=L%27article+a+%C3%A9t%C3%A9+mis+%C3%A0+jour.">centaines de millions de femmes utilisent ces applications</a> pour mieux suivre leur cycle menstruel, parfois pour prévoir une grossesse – ou, à l'inverse, pour éviter de tomber enceinte. Elles peuvent également enregistrer leur activité sexuelle ou leurs traitements hormonaux.</p>
<p>Autant de données qui pourraient être utilisées pour identifier et suivre les femmes soupçonnées de vouloir avorter. Par exemple, un changement brutal dans un cycle pourrait être le signe d’une intervention médicale.</p>
<p>En effet, alors qu’elles s’en défendent, nombre de ces applications <a href="https://secureservercdn.net/45.40.152.13/99x.577.myftpupload.com/wp-content/uploads/2022/01/Digital-Health-is-Public-Health-Consumers-Privacy-and-Security-in-the-Mobile-Health-App-Ecosystem.pdf">partagent des informations sensibles non cryptées</a> avec des courtiers en données et des sociétés de publicité… et ceci sans que les utilisatrices en soient informées ou y consentent.</p>
<p><a href="https://www.npr.org/2022/05/10/1097482967/roe-v-wade-supreme-court-abortion-period-apps">Avec la fin des protections institutionnelles pour les avortements</a>, beaucoup s’inquiètent du fait que ces données intimes puissent être utilisées comme preuves dans de futures procédures judiciaires. Au point parfois de conseiller de quitter les applications non sécurisées.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1540345161955385345"}"></div></p>
<h2>Un moment unique pour les démocraties</h2>
<p>À la suite de l’arrêt de juin dernier, des appels ont donc été lancés aux femmes aux États-Unis pour qu’elles <a href="https://www.abc.net.au/news/2022-06-28/after-roe-v-wade-concerns-rise-for-period-tracker-information/101186384">suppriment non seulement leurs applications de suivi de fertilité et des règles</a>, mais désactivent aussi le suivi de la localisation sur leur téléphone, voire utilisent des <a href="https://www.washingtonpost.com/technology/2022/06/26/abortion-online-privacy/">« burner phones »</a> (téléphones prépayés, destinés à un usage unique et limité dans le temps).</p>
<p>Cependant, ces efforts individuels, très disparates, risquent d’être inefficaces ou peu pratiques à l’usage. Le système de surveillance numérique est trop vaste pour que nous puissions y échapper facilement et efficacement.</p>
<p>Des milliards de pages web contiennent des traceurs qui collectent des données personnelles détaillées. Plus de 6,5 milliards de téléphones dans le monde peuvent être facilement transformés en outils de surveillance sophistiqués. Il est aussi de plus en plus difficile d’éviter le regard des caméras dont les images peuvent être <a href="https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html">stockées dans des bases de données</a> et <a href="https://theconversation.com/la-reconnaissance-faciale-du-deverrouillage-de-telephone-a-la-surveillance-de-masse-184484">analysées par des algorithmes spécialisés</a>.</p>
<p>Pire encore, ces données sont collectées, stockées et échangées selon des modalités que nous ne comprenons pas bien, avec des règles et réglementations minimales.</p>
<p>Les défenseurs de la vie privée et les chercheurs nous mettent en garde depuis des années contre le potentiel destructeur de cet appareil de surveillance numérique.</p>
<p>Les critiques ont souvent noté que ce système pouvait soutenir et enhardir des régimes totalitaires, <a href="https://theconversation.com/le-pour-et-le-contre-faut-il-sinspirer-du-systeme-de-credit-social-chinois-176171">comme celui de la Chine</a>. La surveillance dans les pays occidentaux, comme les États-Unis, a été considérée comme moins problématique parce qu’elle était axée sur le commerce.</p>
<p>L’annulation de l’arrêt Roe v. Wade est toutefois un moment décisif en raison de son importance pour les droits reproductifs des femmes. Il peut également contribuer à définir l’époque d’une autre manière : le système de surveillance numérique existant, utilisé jusqu'ici de manière routinière (et en partie volontaire), pourrait désormais être perçu comme un outil utilisé pour criminaliser des citoyens.</p>
<h2>Il n’est pas trop tard</h2>
<p>Une grande partie de la législation existante est en décalage avec les technologies actuelles et doit être réformée, aux États-Unis mais pas seulement. <a href="https://www.oaic.gov.au/engage-with-us/submissions/reform-of-australias-electronic-surveillance-framework">L’Australie aussi se pose des questions</a> (<em>l’<a href="https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on">Europe, avec le RGPD</a>, et la <a>France également</a>, ndlr</em>).</p>
<p>À quoi ressembleraient de nouvelles règles ? Pour freiner la surveillance numérique, elles devraient :</p>
<ul>
<li><p>Limiter strictement la collecte, le stockage, le partage et le croisement des données numériques,</p></li>
<li><p>Réglementer étroitement l’utilisation des technologies de reconnaissance faciale,</p></li>
<li><p>Exiger des plates-formes numériques, des sites web et des applications mobiles qu’ils offrent aux utilisateurs des options de non-traçage simples et réelles,</p></li>
<li><p>Exiger des entreprises qu’elles proposent un véritable cryptage de bout en bout pour protéger les données des utilisateurs.</p></li>
</ul>
<p>Nous sommes à l’aube d’une ère où la surveillance numérique est utilisée à grande échelle contre des citoyens ordinaires. D’énormes changements sont nécessaires, non seulement pour protéger le choix reproductif des femmes, mais aussi pour protéger la vie privée et la liberté de chacun contre une surveillance indue.</p><img src="https://counter.theconversation.com/content/191046/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Uri Gal ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>L’annulation de l’arrêt Roe v. Wade a signé la fin de la protection du droit à l’avortement aux États-Unis. Quels risques pour les femmes, à l’heure d’Internet et des données de santé en ligne ?Uri Gal, Professor in Business Information Systems, University of SydneyLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1827782022-05-16T19:47:10Z2022-05-16T19:47:10ZRéforme de l’échange des données policières en Europe : vers une surveillance renforcée ?<p>Pandémie, soutien à l’Ukraine, politiques économiques : plus que jamais, l’Union européenne semble au-devant de nombreuses actualités. Parmi les <a href="https://european-union.europa.eu/principles-countries-history/principles-and-values/aims-and-values_fr">objectifs assignés à l’Union européenne</a> se trouvent bien sûr des enjeux économiques, démocratiques et sociétaux mais également sécuritaires. L’Union doit ainsi permettre de favoriser une plus grande sécurité au sein de l’espace européen.</p>
<p>Or, répondre à cet impératif implique notamment de favoriser la coopération entre les organes policiers et judiciaires de chaque pays. En ce sens, on a récemment évoqué la <a href="https://www.lemonde.fr/international/article/2022/01/03/les-debuts-prometteurs-du-parquet-europeen_6107976_3210.html">création d’un parquet européen</a> qui doit devenir une autorité de poursuite centralisée pour certaines infractions.</p>
<p>Peut-être moins médiatique se trouve ici la question de l’échange des informations entre services de pays différents. Elle apparaît pourtant absolument essentielle dans la <a href="https://www.cnil.fr/fr/la-cooperation-police-justice">pratique quotidienne des forces de l’ordre</a> et des juridictions, de l’enquête au jugement.</p>
<h2>Des traités existants</h2>
<p>C’est pour ces raisons que dans le cadre des accords de Schengen, assurant la <a href="https://www.touteleurope.eu/fonctionnement-de-l-ue/le-fonctionnement-de-l-espace-schengen/">libre circulation des personnes entre les pays signataires</a>, a été mis en place un système policier d’échange d’informations. Le <a href="https://www.cnil.fr/fr/sis-ii-systeme-dinformation-schengen-ii">Système d’information Schengen (SIS)</a>, désormais dans sa seconde version, constitue ainsi toujours la principale source de renseignements pour les enquêteurs lors d’infractions transfrontalières.</p>
<p>Le SIS est une grande base de données. Organisé en plusieurs fichiers, il contient des informations notamment sur des personnes recherchées et sous surveillance policière. Il comprend un grand nombre de données, y compris les empreintes digitales. Néanmoins, son usage est très encadré et passe notamment par un <a href="https://www.cnil.fr/fr/sis-ii-systeme-dinformation-schengen-ii">bureau national présent dans chaque pays</a>. Par ailleurs, le SIS ne permet pas l’échange des informations génétiques.</p>
<p>Pour répondre à ces marques, le <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000017865342">traité de Prüm</a> (appelé par certains « Schengen plus ») a été signé en 2005 d’abord pris entre quelques États. <a href="https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A32008D0615">Intégré au droit de l’Union européenne en 2008</a>, il autorise ainsi l’échange automatisé entre les services de police des différents pays européens des empreintes digitales mais aussi <a href="https://cesice.univ-grenoble-alpes.fr/sites/cesice/files/Mediatheque/Documents/resume_marie_nicolas.pdf">notamment des données génétiques</a> et des informations portant sur l’immatriculation des véhicules.</p>
<p>Ces communications entre polices européennes peuvent avoir lieu sur tout type de délit ou de crime, mais sont sans doute en pratique le plus souvent réservées aux cas de criminalité transfrontalière (comme un trafic de stupéfiants par exemple).</p>
<h2>Un cadre jugé insuffisant</h2>
<p>C’est du système de Prüm, qui existe toujours en parallèle du SIS, dont on reparle aujourd’hui. En effet, plus de quinze ans après, voilà plusieurs mois que les Européens échangent à nouveau sur ces questions pour permettre l’adoption d’accords « Prüm 2 ».</p>
<p>La présidence française du Conseil de l’Union européenne, si elle n’est pas à l’initiative du projet, <a href="https://www.statewatch.org/news/2022/april/eu-policing-france-proposes-massive-eu-wide-dna-sweep-automated-exchange-of-facial-images/">y prend une part importante</a> et appuie sa finalisation.</p>
<p>Pourquoi une telle nécessité ? Dans un <a href="https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_6645">document de décembre dernier</a>, la Commission européenne expose ce que serait le tableau noir des échanges policiers dans le cadre actuel : accords partiels, multiples et complexes, équipements non compatibles, pas de canal unique de communication, pertes d’informations.</p>
<p>Plus encore, un manque se ferait ressentir dans la pratique, selon le même document : l’absence d’outil automatisé de comparaison des images faciales des personnes fichées. Si les photographies peuvent déjà être échangées, cela se fait au cas par cas, de manière manuelle, ce qui engendrerait une perte de temps importante.</p>
<h2>Deux modifications majeures</h2>
<p>Le nouveau système proposé doit répondre à ces critiques. Pour cela, <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2021%3A784%3AFIN&qid=1639141496518">deux modifications majeures sont proposées</a>.</p>
<p>D’une part, en lieu et place du cadre actuel qui fonctionne par échanges bilatéraux, comme une messagerie électronique, le projet d’accord prévoit un système centralisé. Il ne s’agirait donc plus, par exemple, pour le policier français de demander au policier espagnol une information sur un suspect, qui lui répond, de manière manuelle ou automatisée. Désormais, le policier français se connecterait sur une interface centralisée lui donnant directement accès aux différentes bases nationales qui y seraient toutes connectées.</p>
<p>D’autre part, le nouveau système permettrait l’échange de photographies faciales, pour le moment exclues du dispositif. L’usage de systèmes de reconnaissance faciale à partir de ces banques de données serait également permis. Les casiers judiciaires seraient également accessibles automatiquement.</p>
<h2>Un avis mitigé de la CNIL européenne</h2>
<p>Ces modifications ne sont pas mineures mais relèvent en réalité d’un <a href="https://www.nextinpact.com/article/49249/vers-partage-facilite-dimages-faciales-et-casiers-judiciaires-entre-polices-ue">changement d’échelle</a>. En effet, même si cette réforme ne conduit pas à la création d’une base de données centralisée, elle permet une recherche automatisée et immédiate dans tous les fichiers nationaux des pays membres.</p>
<p>Des garde-fous encadrent bien sûr cette possibilité. Le texte prévoit ainsi que, en cas d’usage du système de reconnaissance faciale, le « match » ne pourra être validé que par un humain qui devra confirmer l’identité de la personne.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/video-surveillance-ou-vont-nos-donnees-171622">Vidéo-surveillance : où vont nos données ?</a>
</strong>
</em>
</p>
<hr>
<p>Pour autant, les risques sur les libertés fondamentales et, partant, en matière de surveillance, sont réels. Le CEPD, <a href="https://edpb.europa.eu/edpb_fr">autorité européenne de la protection des données</a> (sorte de CNIL européenne) a ainsi très récemment mis en garde, dans son avis rendu sur le projet dans sa <a href="https://edps.europa.eu/data-protection/our-work/publications/opinions/edps-opinion-proposal-regulation-automated-data_en">dernière version</a>, sur plusieurs points importants.</p>
<p>Le CEPD soulève ainsi notamment l’absence de nécessité de démontrer des soupçons d’un crime grave sur un individu pour pouvoir procéder à la recherche dans les bases européennes. Les infractions autorisant cette consultation ne sont même pas précisément délimitées. Le risque est alors celui de consultations assez régulières voire massives, même en dehors de caractère particulièrement grave ou transfrontalier.</p>
<h2>Le menace d’une massification de la surveillance</h2>
<p>En ce sens, la recherche automatisée par données génétiques est possible quelque soit l’infraction et quel que soit le statut de la personne fichée. En France, le FNAEG autorise ainsi la collecte de personnes seulement soupçonnées, sans même qu’elles n’aient été condamnées. Le projet « Prüm 2 » ne distingue pas et prend en compte l’ensemble de ces informations.</p>
<p>Ces deux dernières remarques font peser le risque d’une surveillance massifiée. Cela d’autant plus que l’usage de la reconnaissance faciale à l’échelle européenne serait grandement facilité par cet accord, alors même que les <a href="https://www.capital.fr/economie-politique/le-controleur-europeen-soppose-a-la-reconnaissance-faciale-dans-les-lieux-publics-1407095">critiques contre cette technologie sont nombreuses</a>, y compris au niveau européen. Celle-ci permet en effet un <a href="https://theconversation.com/video-surveillance-ou-vont-nos-donnees-171622">contrôle d’identité virtuel permanent des individus sur l’espace public</a>, sans compter les risques de discrimination de certaines populations.</p>
<p>Plus encore, même s’il est précisé que l’obtention des informations ne pourra se faire qu’en accord avec le droit national de l’agent demandeur, des questions pourraient en outre être soulevées quant au cadre français. Par exemple, en France, les policiers n’ont pas directement accès au <a href="https://www.cnil.fr/fr/cnil-direct/question/casier-judiciaire-que-peut-y-trouver-sur-moi">casier judiciaire</a> que peut seul consulter un magistrat alors même qu’il serait ici permis l’échange automatique des casiers entre services policiers.</p>
<p>Concrètement, le risque est donc bien celui d’une massification de la surveillance en autorisant l’accès systématique à toutes les bases de données policières européennes, y compris aux informations les plus sensibles (données génétiques et photographies) et par les mécanismes les plus automatisés (comparaisons informatisées, reconnaissance faciale, etc.).</p>
<p>Ainsi, derrière ces considérations qui pourraient paraître particulièrement techniques, c’est bien à travers le prisme de la surveillance et du respect des libertés fondamentales qu’il faut étudier ce projet. Celui-ci s’inscrit d’ailleurs dans un contexte général, tant européen que national, où la future <a href="https://www.vie-publique.fr/loi/284424-projet-loi-orientation-programmation-ministere-interieur-lopmi-2023-27">Loi de programmation et d’orientation</a>. du ministère de l’Intérieur favorise encore la vidéosurveillance et l’accès aux bases de données.</p><img src="https://counter.theconversation.com/content/182778/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Yoann Nabat ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Un projet de réforme au niveau européen prévoit d’élargir un peu plus les possibilités d’échanges automatisés d’informations entre polices européennes, au risque de formes nouvelles de surveillance.Yoann Nabat, Doctorant en droit privé et sciences criminelles, Université de BordeauxLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1806122022-04-06T21:18:51Z2022-04-06T21:18:51ZLa fin des « cookies tiers » ne répond pas au besoin de contrôle des internautes sur leurs données<figure><img src="https://images.theconversation.com/files/456082/original/file-20220404-13821-pq3hrr.jpg?ixlib=rb-1.1.0&rect=35%2C40%2C2914%2C1931&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Pour le moment, la plupart des solutions alternatives aux cookies privilégient l’objectif commercial aux dépens des attentes des internautes.
</span> <span class="attribution"><a class="source" href="https://www.piqsels.com/en/public-domain-photo-fkfnw/download">Piqsels</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Les révélations du <a href="https://www.wsj.com/articles/the-facebook-files-11631713039"><em>Wall Street Journal</em></a> contenues dans les <a href="https://www.latribune.fr/technos-medias/internet/facebook-files-le-scandale-le-plus-devastateur-de-l-histoire-de-facebook-893717.html">« Facebook Files »</a>, publiés en septembre dernier, ont une nouvelle fois montré que les utilisateurs s’exposaient à des risques liés à la divulgation des informations personnelles. Les réseaux sociaux ne sont pas les seuls en cause : les nombreux <em>data breach</em> (incidents de sécurité en termes de données confidentielles) rendus publics, illustrent régulièrement la <a href="https://www.lemonde.fr/pixels/article/2022/03/18/assurance-maladie-des-donnees-personnelles-concernant-plus-de-500-000-francais-volees_6118149_4408996.html">vulnérabilité des individus</a> face à une navigation quotidienne sur les moteurs de recherche, sites de e-commerce et autres ayant recours à des « cookies tiers » , ces fichiers de données envoyés par un site web et stockés dans le navigateur web d’un utilisateur pendant que celui-ci navigue sur un site pour le suivre et optimiser le ciblage publicitaire.</p>
<p>Face à ces techniques répandues, les internautes restent aujourd’hui dans l’attente d’une plus grande transparence de la part des entreprises. Ainsi, en août 2019, <a href="https://www.blog.google/products/chrome/building-a-more-private-web/">Google a annoncé son intention de supprimer progressivement les cookies tiers</a> (<em>third party)</em> d’ici à 2023 (initialement prévu pour 2022) afin de mieux protéger la vie privée des utilisateurs. D’autres navigateurs avaient déjà entamé cette démarche : par exemple, Apple sur son navigateur <a href="https://www.blogdumoderateur.com/apple-bloque-cookies-tiers-safari/">Safari</a> (2017) ou bien <a href="https://blog.mozilla.org/press-fr/2019/09/03/firefox-bloque-desormais-par-defaut-les-cookies-tiers-de-pistage-et-les-mineurs-de-cryptomonnaies/">Mozilla</a> sur son navigateur Firefox (2019). L’annonce de Google a toutefois provoqué de très nombreuses réactions dans la sphère web car Chrome possède plus de <a href="https://gs.statcounter.com/browser-market-share">62 %des parts de marché</a> de la recherche en ligne.</p>
<h2>Deux logiques s’opposent</h2>
<p>De telles initiatives provenant d’acteurs majeurs montrent l’importance du sujet de la protection de la vie privée. Les cookies tiers étant voués à disparaître, diverses organisations tentent de s’emparer du sujet afin de proposer des alternatives permettant de « mieux faire de la publicité ». Toutefois, ces solutions protègent-elles réellement mieux les données personnelles des internautes ? Pas forcément, car la suppression des cookies tiers ne supprime pas complètement le traçage des individus sur le web ! Surtout, selon une <a href="https://journals.sagepub.com/doi/abs/10.1177/0767370120935734">étude</a> récente publiée dans la revue <em>Recherche et applications en marketing</em>, menée par l’une des auteures de cet article, les utilisateurs cherchent avant tout à retrouver du contrôle sur la divulgation et l’accès à leurs informations personnelles à des fins publicitaires.</p>
<p>Pour le moment, la plupart des solutions proposées sur le marché pour remplacer les cookies ont en effet un objectif commercial en ligne de mire… et bien moins de répondre aux véritables attentes des utilisateurs. Évidemment, les alternatives ne sont pas si faciles à mettre en place car deux logiques s’opposent : d’un côté, les utilisateurs et la protection de leur vie privée ; et de l’autre, les annonceurs et leur besoin croissant de cibler avec précision pour plus de performance. C’est pourquoi la <a href="https://www.cnil.fr/en/node/121694">CNIL a rappelé</a>, fin 2021, que « le développement de techniques alternatives aux cookies tiers ne peut se faire aux dépens du droit des personnes à la protection de leurs données personnelles et de leur vie privée ».</p>
<h2>Cohortes et empreintes numériques</h2>
<p>À ce jour, deux alternatives à l’utilisation des cookies tiers semblent plus pertinentes que les autres sur le marché :</p>
<ul>
<li><p>D’abord, le <a href="https://privacysandbox.com/">Privacy Sandbox</a>, tel que celui proposé par le navigateur Google Chrome, basé sur un algorithme d’apprentissage automatique non supervisé qui créé des cohortes d’individus. Autrement dit, les internautes ne sont plus ciblés individuellement car leurs comportements sont anonymes, agrégés. Ils sont intégrés à des cohortes d’individus qui ont les mêmes caractéristiques et centres d’intérêt. Il n’est alors pas possible pour un internaute d’être identifié parmi les autres internautes au sein de la même cohorte, mais les informations sont suffisantes pour réaliser un ciblage pertinent.</p></li>
<li><p>Une seconde alternative au <em>cookieless</em> est le <a href="https://amiunique.org/">« fingerprinting »</a> (ou empreinte numérique). Elle permet de récupérer un maximum d’informations techniques (navigateur, processeur, type d’écran, adresse IP, débit, etc.) concernant l’internaute. Grâce à ces informations, il est possible de créer un profil unique qui pourra être utilisé par les annonceurs. Le « fingerprinting » permet en quelques millisecondes d’identifier avec <a href="https://github.com/fingerprintjs/fingerprintjs">99,5 %</a> de précision un utilisateur, sans avoir à stocker d’informations. Pour le moment, le <a href="https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on">Règlement général sur la protection des données</a> européen (RGPD) ne l’interdit pas explicitement. Cette pratique est autorisée si un consentement est donné par l’utilisateur (ce qui n’est pas sans rappeler le consentement demandé pour les cookies) et si les résultats de l’algorithme ne sont pas stockés dans la machine de l’utilisateur.</p></li>
</ul>
<h2>« Privacy by design »</h2>
<p>Ainsi, ces nouvelles approches poursuivent le besoin de ciblage des individus, mais ne répondent pas aux attentes de contrôle des internautes concernant leur vie privée. N’allons-nous donc pas finalement revenir au ciblage contextuel, c’est-à-dire l’utilisation d’algorithmes sémantiques permettant d’associer une page à un mot clé, dans le déclenchement des publicités affichées ? Rien n’est moins sûr : en effet, la performance de ce ciblage contextuel est loin d’égaler les performances des cookies en termes d’hypersegmentation et de reciblage.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/456085/original/file-20220404-19-7hgj60.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/456085/original/file-20220404-19-7hgj60.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/456085/original/file-20220404-19-7hgj60.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/456085/original/file-20220404-19-7hgj60.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/456085/original/file-20220404-19-7hgj60.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/456085/original/file-20220404-19-7hgj60.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/456085/original/file-20220404-19-7hgj60.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">L’hypersegmentation reste la méthode la plus efficace en termes de ciblage publicitaire.</span>
<span class="attribution"><a class="source" href="https://www.piqsels.com/en/public-domain-photo-fkfdi/download">Piqsels</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>D’autres pistes sont donc à envisager concernant les alternatives aux cookies tiers. Par exemple, selon un article publié dans <a href="https://dl.acm.org/doi/10.1016/j.ijinfomgt.2019.102061">International Journal of Information Management</a>, l’« expérience algorithmique » (« algorithmic expérience » ou AX) vise à rendre les interactions utilisateurs-algorithmes plus explicites. Certains travaux académiques montrent ainsi qu’une expérience algorithmique optimale est possible si les utilisateurs connaissent le fonctionnement des algorithmes et les données qu’ils traquent.</p>
<p>Au-delà des besoins de performance des entreprises et autres annonceurs, cette piste constituerait ainsi un premier pas dans la diffusion du <em>privacy by design</em>, c’est-à-dire permettre aux individus d’exercer leurs droits en matière de protection de leurs données personnelles (retrouver du contrôle) grâce à la mise en place par les acteurs du web d’interfaces intuitives, claires et conviviales.</p><img src="https://counter.theconversation.com/content/180612/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Les alternatives aux méthodes de ciblage publicitaire actuelles ne renforcent pas la maîtrise de la divulgation des informations personnelles.Carlos Raúl Sánchez Sánchez, Professeur associé, Montpellier Business SchoolAudrey Portes, Assistant Professor, Montpellier Business SchoolSteffie Gallin, Professeur Assistant, Montpellier Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1768452022-03-16T21:02:50Z2022-03-16T21:02:50ZCyber World Cleanup Day : faisons la chasse à ces « données zombies » qui polluent<p>L’accord de Paris nous incite – si l’on veut rester <a href="https://unfccc.int/fr/processus-et-reunions/l-accord-de-paris/l-accord-de-paris">sous les 2 degrés d’augmentation</a> de température – à diminuer par deux nos émissions de gaz à effet de serre avant 2030, et par cinq avant 2050. Comment le numérique peut-il participer à relever ce défi ? Et comment supprimer des données devenues « zombies » peut-il partiellement y contribuer ?</p>
<p>C’est l’objectif du <a href="https://cyberworldcleanupday.fr/a-propos/">Cyber World Cleanup Day</a> qui aura lieu ce samedi 19 mars 2022.</p>
<p>Cette initiative cherche à créer les conditions d’une prise de conscience globale de l’impact environnemental du numérique. Elle sensibilise au <a href="https://institutnr.org/charte-numerique-responsable">numérique responsable</a> de façon très concrète, en partant d’une action simple : « nettoyer » ses propres données.</p>
<h2>L’impact environnemental du numérique</h2>
<p>De plus en plus d’utilisateurs du numérique, cela signifie à la fois de plus en plus d’appareils fabriqués, mais aussi de plus en plus de données produites.</p>
<p>Dans le domaine du numérique, la fabrication constitue de loin le poste le plus impactant en termes de réchauffement climatique ; viennent ensuite l’utilisation puis le recyclage.</p>
<p>Les nombreuses données disponibles (<a href="https://data.ademe.fr/">Ademe</a>, <a href="https://theshiftproject.org/lean-ict/">Shift Project</a>, <a href="https://greenspector.com/fr/accueil/">Greenspector</a>, <a href="https://www.economie.gouv.fr/numerique-quotidien">economie.gouv.fr</a>, etc.) convergent pour nous montrer que :</p>
<ul>
<li><p>L’impact environnemental du numérique dépasse désormais celui de l’aviation civile. Certains travaux classent par exemple l’Internet comme troisième pays consommateur d’électricité au monde, après les États-Unis et la Chine. Environ <a href="https://lejournal.cnrs.fr/articles/numerique-le-grand-gachis-energetique">10 % de l’électricité mondiale</a> serait ainsi consommée pour son seul usage. Et <a href="https://www.greenit.fr/2020/10/06/4-des-emissions-de-ges/">4 % des émissions de gaz à effet de serre</a> y seraient associées selon des chiffres de 2020.</p></li>
<li><p>L’impact <a href="https://www.greenit.fr/wp-content/uploads/2019/10/2019-10-GREENIT-etude_EENM-rapport-accessible.VF_.pdf">environnemental du numérique</a> est avant tout lié à la fabrication des matériels ; elle est coûteuse en eau douce, sable, terres rares, énergies primaires, ressources non renouvelables et engendre de multiples pollutions (des sols notamment). On compte aujourd’hui environ 5 équipements par personne en moyenne, soit <a href="https://www.grizzlead.com/lincroyable-impact-de-la-pollution-numerique-et-les-bonnes-pratiques-a-adopter-tres-vite/">34 milliards de smartphones, ordinateurs, consoles de jeux, tablettes et autres téléviseurs</a>. De plus, la fabrication d’un seul gramme de smartphone <a href="https://youmatter.world/fr/impact-environnement-smartphone-numerique-ecologie/">dépense 80 fois plus d’énergie</a> que celle d’un gramme de voiture.</p></li>
<li><p>L’impact de l’utilisation des matériels s’avère plus faible, mais il croît rapidement au fur et à mesure de la <a href="https://lesenjeux.univ-grenoble-alpes.fr/2018/articles-revue/dossier-2018-production-des-donnees-production-de-la-societe-les-big-data-et-algorithmes-au-regard-des-sciences-de-linformation-et-de-la-communication/">production – souvent mécanique – et du traitement des données</a> au sein d’écosystèmes de plus en plus interconnectés et énergivores. L’essentiel de l’usage se fait désormais en mobilité : en France, un smartphone est par exemple utilisé <a href="https://www.frandroid.com/produits-android/smartphone/756115_combien-dheures-par-jour-passez-vous-sur-votre-ecran-de-smartphone-en-moyenne">plus de 50 heures par mois</a>… essentiellement pour Internet.</p></li>
<li><p>La piste du recyclage reste décevante, avec moins de 1 % des métaux qui seraient recyclés et <a href="https://www.lajauneetlarouge.com/comment-recycler-les-dechets-du-numerique/">moins de 20 % des déchets d’équipements électriques et électroniques</a> dont on peut documenter effectivement le recyclage. Le numérique constitue ainsi l’un des mauvais élèves et du recyclage et du réemploi.</p></li>
<li><p>L’impact du stockage de données reste le moins perceptible, mais il est considérable. La capacité de stockage mondiale <a href="https://fr.statista.com/infographie/17800/big-data-evolution-volume-donnees-numeriques-genere-dans-le-monde/">a atteint 6,7 zettaoctets en 2020</a>. De plus, <a href="https://fr.statista.com/infographie/17800/big-data-evolution-volume-donnees-numeriques-genere-dans-le-monde/">elle va continuer de croître</a> en moyenne de près de 20 % par an jusqu’à 2025, notamment pour accueillir le volume de données des objets connectés et de <a href="https://theshiftproject.org/article/impact-environnemental-du-numerique-5g-nouvelle-etude-du-shift/">la 5G</a>.</p></li>
</ul>
<h2>Données zombies et serveurs comateux</h2>
<p>La durée de vie de nos appareils ainsi que leur consommation électrique pourrait être aisément améliorée en supprimant les données qui ne sont plus utilisées. Car ces données inutilisées – parfois <a href="https://www.bfmtv.com/economie/entreprises/services/70-des-donnees-stockees-par-les-entreprises-sont-inutilisables_AN-201506190173.html">même inutilisables</a> – continuent à prendre de la place sur les terminaux personnels, sur des serveurs dédiés ; elles sont également dupliquées dans les data centers.</p>
<p>Dormantes, latentes, cachées… Ces données massives constituent un gaspillage insidieux.</p>
<p>Nous les nommerons <a href="https://www.komprise.com/blog/is-zombie-data-haunting-you/">« données zombies »</a> : il s’agit de données codées et placées dans des gabarits de tout format (son, vidéo, <a href="https://www.capital.fr/conso/cest-le-moment-de-trier-vos-photos-voici-les-bons-outils-1367761">image</a>, page, texte, etc.) dont le volume est d’au moins 10,00 Ko et dont la durée d’inactivité est d’au moins 3 années.</p>
<p>Photos ratées, brouillons, applications obsolètes, factures de 2012, trajets de 2014, vidéos de 2018 tombées dans les oubliettes : autant de « données zombies » qui alourdissent notre pollution numérique.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/teletravail-en-confinement-sept-conseils-pour-alleger-les-reseaux-136570">Télétravail en confinement : sept conseils pour alléger les réseaux</a>
</strong>
</em>
</p>
<hr>
<p>Si le coût du stockage des données est faible – ce qui n’incite nullement les entreprises et les particuliers à faire le ménage –, la chasse à ces données zombies représente une action aussi facile qu’efficace dont il ne faut pas se priver.</p>
<p>Ces données sont à la fois <a href="https://www.linkedin.com/pulse/ces-donn%C3%A9es-qui-ne-meurent-jamaisvive-les-zombidata-marc-bidan/?originalSubdomain=fr">volumineuses, dangereuses et coûteuses</a>. Volumineuses : même s’il est difficile de les évaluer, elles représenteraient, selon les études, entre 20 % à 30 % de la volumétrie totale des données du système d’information (SI).</p>
<p>Dangereuses : elles constituent clairement une faille de sécurité (une porte d’entrée, une information dormante, une version ancienne d’un fichier pas forcément obsolète, des fichiers d’anciens mots de passe toujours actifs, des anciens comptes professionnels avec « log in », mais <a href="https://dywidag.com/fr-FR/privacy">sans « log off »</a>, etc.) souvent mal prise en compte notamment au sein des PME dont le stockage des données n’est pas sécurisé.</p>
<p>Enfin, elles sont coûteuses en matière de stockage.</p>
<p>Il faut également ici mentionner les <a href="https://www.lemagit.fr/definition/Serveur-zombie">serveurs zombies</a> ou encore les « serveurs comateux ». Ces <a href="https://whatis.techtarget.com/fr/definition/Serveur">serveurs</a> physiques hébergent données et applications, mais ne communiquent plus, et consomment donc de l’électricité pour rien. <a href="https://www.anthesisgroup.com/report-zombie-and-comatose-servers-redux-jon-taylor-and-jonathan-koomey/">Une étude de 2017</a> évalue à environ 3,6 millions le nombre de serveurs zombies aux États-Unis et à 10 millions sur la planète. Plus nous stockons de données, plus nous maintenons d’applications, plus nous générons de serveurs comateux.</p>
<h2>Des données à supprimer… et à ne pas produire</h2>
<p>Que l’on soit un particulier ou une entreprise, pour participer au Cyber World Cleanup Day, voici la marche à suivre.</p>
<p>Il s’agit d’une part d’identifier les zombies – en utilisant le tri par « modifié le » ou par « taille » – puis de les traiter. Cela s’avère relativement aisé en utilisant <a href="https://www.avg.com/fr/signal/how-to-get-rid-of-unnecessary-apps-on-your-pc">certaines applications</a> qui proposent un archivage non énergivore ou carrément une destruction ; sachant que ce processus reste le fruit d’une démarche volontaire et explicite et non d’un paramétrage par défaut.</p>
<p>Nous abordons ici l’une des <a href="https://theshiftproject.org/category/thematiques/numerique/">dérives de nos écosystèmes data centrés</a> : ces derniers postulent que toutes les données sont à conserver, car, un peu comme les malles et bibelots qui encombrent nos caves et greniers, elles « peuvent » se révéler utiles une « prochaine fois »…</p>
<p>La réalité montre qu’il n’en est rien. Pour les directions SI des entreprises, disposant en général de moyens, d’informations et de compétences, le <a href="https://www.lemondeinformatique.fr/actualites/lire-nettoyage-des-donnees-un-travail-ingrat-mais-vital-en-datascience-83779.html">travail de nettoyage et de chasse aux données</a> zombies est paradoxalement plus facile que pour les utilisateurs particuliers pouvant se satisfaire d’un illusoire statu quo. Le <a href="https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on">RGPD</a> a également largement aidé les entreprises à monter en compétences sur les questions liées <a href="https://www.riskinsight-wavestone.com/2018/06/3-idees-recues-sur-les-obligations-du-rgpd-23/">à leurs données stockées</a>.</p>
<p>En effet, pour les professionnels des SI et de leur <a href="https://fnege-medias.fr/fnege-video/quest-ce-que-le-management-des-systemes-dinformation/">management</a>, il existe depuis quelques années des applications, des ESN et des plates-formes (<a href="https://www.komprise.com">komprise.com</a>, <a href="https://greenspector.com/fr/category/zone-technique/">greenspector.com</a>, <a href="https://www.easyvirt.com/">easyvirt.com</a>).</p>
<p>Ces solutions peuvent par exemple identifier les données non sollicitées depuis X années, les données issues de comptes Y qui ne feraient plus partie de l’organisation, puis ces solutions Z vont « dénicher » ces données et proposer de les supprimer. Des solutions – <a href="https://cyberworldcleanupday.fr/cleanup/un-grand-coup-de-balais-dans-vos-donnees-zombies/">mais aussi des ateliers</a> – peuvent ainsi proposer de les identifier, de les détruire ou de les déplacer vers le cloud ou la corbeille… qu’il faudra bien penser à vider !</p>
<h2>De la responsabilité à la sobriété numérique</h2>
<p>L’idéal serait bien sûr de ne pas produire de tels volumes de données et d’aller vers une plus grande sobriété numérique.</p>
<p>Il est en effet regrettable que la <a href="https://management-datascience.org/articles/16254/">dématérialisation annoncée des contenus</a> s’accompagne d’une matérialisation toujours plus massive des contenants. Les modèles d’affaires data centrés des géants de l’Internet ont ici une grande part de responsabilité. Il faut bien que l’utilisateur produise des données – gratuitement ou pas – pour qu’un opérateur les collecte, les stocke, les traite et les revende. La maîtrise du cycle de vie des données constitue le cœur de leur position dominante.</p>
<p>Le volume produit n’est donc pas une contrainte, mais une aubaine pour ces acteurs. C’est bien là l’écueil du <a href="https://cyberworldcleanupday.fr/annuaire-des-cyber-cleanups/">Cyber World Cleanup Day</a> qui ne doit pas cacher la forêt des <a href="https://www.statista.com/statistics/871513/worldwide-data-created/">données produites</a> derrière l’arbre des données nettoyées.</p><img src="https://counter.theconversation.com/content/176845/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Marc Bidan est directeur du laboratoire d’Économie et de Management de Nantes Atlantique (LEMNA). </span></em></p><p class="fine-print"><em><span>Christophe Benavent ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Le volume des données quasiment « mortes » ne cesse de croître. À l’occasion du Cyber World Cleanup Day, nous montrons qu’il est possible d’agir pour identifier et supprimer ces données zombies.Marc Bidan, Directeur du laboratoire LEMNA - Professeur en Management des systèmes d’information - Polytech Nantes, Auteurs historiques The Conversation FranceChristophe Benavent, Professeur en sciences de gestion, Université Paris Dauphine – PSLLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1740832022-01-16T17:13:31Z2022-01-16T17:13:31ZBonnes feuilles : « Website story »<p><em>Depuis les années 1990 et la création d’un dépôt légal du web, l’INA et la BNF collectent, conservent et rendent accessible l’Internet français. Issue d’une thèse, cette étude propose une analyse des enjeux mémoriels et historiques de l’archivage des sites Internet. Dans ces bonnes feuilles extraits de son dernier ouvrage, « Website story », Sophie Gebeil revient sur les défis que rencontrent les historien·ne·s face aux sources en ligne.</em></p>
<hr>
<p>La généralisation d’Internet offre un vaste territoire d’exploration, mais prendre le Web comme source primaire induit une complexification des méthodes historiques. Du fait de leurs spécificités, les sources en ligne remettent en question les notions de matérialité et surtout de stabilité du document historique, aspect déterminant dans l’administration de la preuve et dans l’ontologie de la discipline.</p>
<p>Le premier obstacle est d’ordre méthodologique. Fondée sur la diplomatique, la critique documentaire constitue, depuis la fin du XIX<sup>e</sup> siècle, un fondement de la démarche historienne déclinée en quatre dimensions : la critique externe (la forme du document, en lien avec les sciences auxiliaires de l’histoire), la critique interne (le discours ou la représentation), la critique de provenance (point de vue et authenticité) et la critique de portée (destinataire).</p>
<p>« L’âge des fichiers » transforme les modalités de l’enquête et les termes mêmes de l’étude. Par exemple, la critique externe implique de cerner le dispositif de médiation, et donc nécessite une culture numérique minimale, tout comme l’analyse d’une archive télévisuelle nécessite une culture en matière de production audiovisuelle. De plus, la critique interne sur un corpus de données massives peut nécessiter le recours à des outils numériques (outils d’analyse lexicologique comme Iramuteq par exemple) au profit d’une <a href="https://www.cairn.info/revue-bulletin-de-l-institut-pierre-renouvin-2016-2-page-119.htm">« histoire par les données »</a>. L’absence d’outil d’analyse adapté aux spécificités disciplinaires <a href="https://www.cairn.info/revue-d-histoire-moderne-et-contemporaine-2011-5-page-30.htm">ne facilite pas l’appréhension d’Internet comme source</a>. Outre ces freins, le Web brouille les critères d’identification du fait d’une forme d’opacité et de la démultiplication des sources disponibles en ligne. Ces défis, auxquels toutes les SHS sont confrontées, prennent une dimension particulière en histoire.</p>
<p>En effet, une deuxième difficulté est d’ordre ontologique et renvoie à la place du document dans la méthodologie historique. Le caractère « volatile », « fluide » des sources en ligne est unanimement rappelé par les cyber-historien·ne·s au début des années 2000, principalement à l’aune du modèle des sources manuscrites ou imprimées.</p>
<p>La dissociation entre l’information et son support permet la circulation des contenus qui sont par définition instables, bouleversant ainsi la conception de la source historique à laquelle est traditionnellement associée l’idée de matérialité du document. Selon les <a href="https://www.gallimard.fr/Catalogue/GALLIMARD/Tel/L-archeologie-du-savoir">termes de Michel Foucault</a> :</p>
<blockquote>
<p>« [La formulation des actes] fait apparaître, sur un matériau quelconque et selon une forme déterminée, ce groupe de signes : la formulation est un événement qui, en droit au moins, est toujours repérable selon des coordonnées spatio-temporelles, qui peut toujours être rapporté à un auteur, et qui éventuellement peut constituer par elle-même un acte spécifique… »</p>
</blockquote>
<p>La matérialité des traces laissées par l’activité humaine est aussi associée à l’élaboration des faits historiques chez Marc Bloch évoquant les « matériaux fournis par les générations passées » sur lesquels les historien·ne·s s’appuient. L’analyse des sources inclut d’ailleurs l’étude du support matériel en relation avec les sciences auxiliaires de l’histoire, comme l’épigraphie par exemple, permettant de cerner les modalités d’élaboration du document. Or, <a href="https://www.openedition.org/13753?lang=en">comme l’expliquent Frédéric Clavert et Serge Noiret</a> :</p>
<blockquote>
<p>« Les sources primaires ne sont souvent plus reliées au contexte matériel qui leur faisait “prendre sens” et les validait dans leurs contextes : dans le monde numérique, un des grands problèmes est certainement celui de l’individuation des contextes signifiants, ce que les philologues appellent l’histoire de la construction des textes et des documents. »</p>
</blockquote>
<p>La dissociation entre l’information et son support invite donc à repenser la notion de traces en y intégrant la dimension numérique et interconnectée. Cependant les historien·ne·s des médias savent bien que le caractère « immatériel » des sources ne concerne pas seulement les documents issus du Web. Bruno Bachimont a en effet montré comment les « médium technologiques » (sources audiovisuelles) avaient déjà, dans leur format analogique, entraîné une dissociation entre le support d’enregistrement (par exemple la bobine d’un film) et la forme de restitution (écran de la salle de cinéma).</p>
<p>À cette première étape de « déconstruction du document », s’est ajoutée la numérisation des sources audiovisuelles, à l’image de la télévision qui est aujourd’hui un média de flux digital. La dématérialisation des sources n’est donc pas inédite, en particulier pour les historien·ne·s des médias, mais le numérique induit un changement de paradigme documentaire <a href="https://cours.ebsi.umontreal.ca/sci6116/Ressources_files/Bachimont-Archivage.pdf">caractérisé par la « re-construction »</a>.</p>
<p>Par rapport aux sources audiovisuelles, les sources en ligne sont l’objet d’une instabilité plus importante car elles s’inscrivent dans un environnement en mouvement qui évolue au gré des interactions émanant des acteur·rice·s de la Toile : en consultant une page Web, l’usager traite une actualisation du document à un instant donné, dans un processus de modification <a href="http://andre.tricot.pagesperso-orange.fr/Tricot_HDR.pdf">constant et de reconstruction à partir de ressources multiples</a>.</p>
<p>De surcroît, ce phénomène de « mutation vers des textes fluides, soumis à des changements continus 3 », s’effectue dans une temporalité de plus en plus brève qui s’accorde mal avec les impératifs de la recherche historique fondée sur un corpus documentaire stable.</p>
<p>À la modularité des contenus en ligne s’ajoute leur mobilité sur le réseau. En 2011, Brewster Kahle (fondateur d’Internet Archive) estimait que la durée de vie, en moyenne, d’une page web avant <a href="http://www.internetactu.net/2011/06/28/brewster-kahle-internet-archive-le-meilleur-du-web-est-deja-perdu/">qu’elle ne soit supprimée ou modifiée était de 100 jours</a>. S’il est en réalité difficile de mesurer statistiquement le phénomène, la volatilité des contenus demeure un frein fondamental à la constitution d’un corpus nativement numérique dans une perspective historique car elle remet en cause la stabilité et la pérennisation des sources.</p>
<p>Cette instabilité contraste avec le sentiment d’accessibilité qui prévaut dans l’usage, y compris lorsqu’il s’agit de citer des pages Web dans un travail de recherche. En effet, contrairement à la télévision numérique diffusée en direct pour laquelle l’usager sait qu’il ne disposera que d’un temps limité pour capter l’émission via un enregistrement, ou un accès différé en streaming, les sources en ligne sont encore trop souvent mobilisées au prisme du mirage de l’accessibilité.</p>
<p>D’ailleurs, l’un des réflexes après avoir raté une émission diffusée à la télévision est d’éventuellement la retrouver en ligne. L’indication, en note infrapaginale, de l’adresse URL exacte du document utilisé ne garantit pas la possibilité de consulter l’information citée pour la lectrice ou le lecteur. C’est d’ailleurs pour cette raison qu’il est de coutume de se prémunir en indiquant la date de dernière consultation.</p>
<p>Au-delà de la désagréable sensation générée par l’affichage d’une « erreur 404 » indiquant que la demande ne peut aboutir, <a href="https://www.cairn.info/revue-vingtieme-si%C3%A8cle-revue-d-histoire-2001-1-page-137.htm">cela brise le « contrat de vérité</a> » qui lie l’historien·ne et son destinataire. En effet, l’historien·ne, dans son travail « d’objectivation documentaire » est tenu « de répondre à la confiance que lui accorde son lecteur ». Comme le soulignait March Bloch, la citation des sources utilisées en notes infrapaginales s’inscrit dès lors dans l’établissement de la preuve et offre la possibilité au lecteur·rice de <a href="http://classiques.uqac.ca/classiques/bloch_marc/apologie_histoire/apologie_histoire.html">pouvoir consulter le matériau de l’historien·ne</a>. Le lien « brisé », à cause d’une adresse URL qui n’est plus valable rend caducs les faits établis à partir des documents cités.</p>
<p>La possibilité de vérifier les sources énoncées est un point fondamental de l’administration de la preuve au sein de la discipline.</p>
<p>Une première parade réside dans les dispositifs personnels de sauvegarde (captures d’écran, collecte personnelle via API, etc.). Cependant, ces procédés n’en garantissent pas la pérennisation et ne permettent pas au futur lecteur de consulter la totalité des sources convoquées. Le caractère volatil des sources n’est pas une nouveauté en soi, une bobine filmique peut par exemple brûler ou se dégrader.</p>
<p>En régime numérique, la malléabilité des sources est non seulement généralisée, mais en plus, leur caractère hyperlié en limite la possibilité d’identification dans le temps malgré une apparente traçabilité. L’instabilité des contenus constitue donc un frein majeur à leur historicisation, comme le résume ici Serge Noiret :</p>
<blockquote>
<p>« Le digital turn a rendu précaire un certain nombre de concepts chers aux historiens comme celui de la pérennité des sources et de la capacité de reproduire dans le temps une analyse qui s’y réfère […]. La permanence et la conservation des informations dans la Toile est ainsi un problème central de son utilisation scientifique. »</p>
</blockquote>
<p>En l’absence de « mise en archive » du Web, les sources nativement numériques agissent comme un mirage : elles sont facilement accessibles, consultables en ligne, il semble aisé d’en sauvegarder une trace, mais leur instabilité a pour conséquence une « citabilité » fragile et problématique qui rend leur appréhension comme source historique complexe.</p>
<p>Face à ces défis, les archives du Web sont indispensables pour les historien·ne·s du très contemporain car elles permettent de stabiliser des corpus et de retrouver des traces qui ne sont plus accessibles sur le Web aujourd’hui. Néanmoins leur exploitation impose de multiples précautions et instaure un nouveau rapport à l’archive.</p>
<h2>Quand l’historien·ne rencontre les archives du Web</h2>
<blockquote>
<p>« Pour que toute la procédure historiographique garde la possibilité de vérifier, de contester, et qu’elle maintienne en dernier lieu, son fondement scientifique propre au savoir historique, il faut que les documents et les témoignages qui constituent la base de ce travail demeurent identifiables, stables et inaltérables, et comme tels, susceptibles d’être analysés, critiqués et interprétés […]. Comment donc faire en sorte qu’un matériel documentaire qui par nature tend à la variabilité et au mouvement, <a href="https://archive.org/index.php">devienne stable</a> ? »</p>
</blockquote>
<p>L’interrogation ici exprimée par Rolando Minuti rend compte des obstacles à l’analyse des sources en ligne du fait de leur instabilité. Opération essentielle de la démarche historienne, l’accès aux archives conditionne la recherche.</p>
<p>La démocratisation du Web s’est accompagnée de l’émergence d’initiatives visant à préserver les contenus en ligne, à l’image de la fondation d’<a href="https://archive.org">Internet Archive</a> (IA)aux États-Unis en 1996.</p>
<p>Depuis, les archives du Web constituent un objet de recherche interdisciplinaire particulièrement dynamique. Après un rapide historique de l’essor de l’archivage du Web depuis les années1990, il s’agira de s’immiscer dans la « boîte noire » de l’archivage du Web pour mieux en comprendre le cadre juridique et le fonctionnement, en particulier celles d’IA, de la <a href="https://www.bnf.fr/fr/archives-de-linternet">BnF</a> et de l’<a href="http://www.inatheque.fr/fonds-audiovisuels/sites-web-media.html">INA</a>.</p>
<p>À ces éléments d’ordre général succédera un retour d’expérience de la consultation de ces trois archives du Web qui permet d’en cerner les limites. Cette pratique impose enfin une réflexion épistémologique sur le nouveau rapport qui s’instaure entre l’historien·ne et l’archive.</p>
<hr>
<p><em>A lire : <a href="http://www.inatheque.fr/publications-evenements/publications-2021/website-story-histoire-m-moires-et-archives-du-web.html">« Website story. Histoire, mémoires et archives du web »</a>, Sophie Gebeil, INA, étude et controverses, 2021.</em></p><img src="https://counter.theconversation.com/content/174083/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Sophie Gebeil ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Du fait de leurs spécificités, les sources en ligne remettent en question les notions de matérialité et surtout de stabilité du document historique.Sophie Gebeil, Maître de conférences en histoire contemporaine, Aix-Marseille Université (AMU)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1696952022-01-02T17:22:32Z2022-01-02T17:22:32ZUnivers parallèles et mondes virtuels : la guerre des métavers est commencée<figure><img src="https://images.theconversation.com/files/438957/original/file-20211223-39289-1pwewkb.png?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Une partie de poker dans le métavers (capture d'écran de la vidéo "Le métavers et comment nous allons le construire ensemble" sur YouTube)</span> </figcaption></figure><p>Le 17 octobre 2021, Mark Zuckerberg a lancé les hostilités de manière assez théâtrale, comme s’il défiait ses concurrents d’en faire autant. Afin de concrétiser son rêve d’enfant, le métavers, il a décidé de mettre en œuvre des moyens colossaux : <a href="https://about.fb.com/fr/news/2021/10/investir-dans-les-talents-europeens-pour-aider-a-construire-le-metaverse/">10 000 ingénieurs hautement qualifiés seront recrutés</a> en Europe dans les 5 prochaines années. Cette annonce a été faite quelques jours avant celle du <a href="https://about.fb.com/fr/news/2021/10/presentation-de-meta-une-entreprise-de-technologies-sociales/">changement de nom du groupe Facebook en Meta</a>, le 28 octobre, démontrant ainsi l’engagement total du fournisseur de réseaux sociaux dans la transition vers le métavers.</p>
<p>Le 22 juillet 2021, dans une <a href="https://www.theverge.com/22588022/mark-zuckerberg-facebook-ceo-metaverse-interview">interview à <em>The Verge</em></a>, le créateur de Facebook racontait :</p>
<blockquote>
<p>« Je pense à certains de ces trucs depuis le collège quand je commençais tout juste à coder. […] J’écrivais du code et des idées pour les choses que je voulais coder quand je rentrais de l’école ce jour-là. […] L’une des choses que je voulais vraiment construire était un Internet incarné où on pourrait être dans un environnement et se téléporter à différents endroits et être avec des amis. […] Je pensais que ce serait le Saint Graal des interactions sociales bien avant d’avoir lancé Facebook. Et c’est vraiment excitant pour moi que cela se fasse sur les prochaines plates-formes ».</p>
</blockquote>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/Uvufun6xer8?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Mark Zuckerberg explique ce qu’est le métavers.</span></figcaption>
</figure>
<p>Les métavers <a href="https://chainlink-francophone.medium.com/quest-ce-que-le-m%C3%A9taverse-a32232c31127">nécessitent une combinaison de technologies</a> émergentes et représentent un potentiel commercial considérable. La ruée vers ce nouvel eldorado <a href="https://www.lesnumeriques.com/vie-du-net/metaverse-mark-zuckerberg-a-trop-fantasme-ready-player-one-n170651.html">peut laisser perplexe et même paraître délirante</a> car le grand public n’a pas exprimé d’engouement particulier pour les dispositifs de réalité virtuelle ou augmentée, hormis quelques exceptions comme <em>Pokémon Go</em>. Certains dénoncent déjà les dangers et les dérives inévitables, évoquant les récits de science-fiction dystopiques dans lesquels l’humanité se retrouve asservie ou anéantie par la technologie.</p>
<h2>Un métavers qui a presque 20 ans</h2>
<p>Les métavers seront des mondes virtuels dans lesquels les individus, les entreprises, les organisations, les universités et les pouvoirs publics pourront interagir via des avatars et des simulations, dans un but social, culturel, professionnel, éducatif ou créatif. Considérés comme des <a href="https://www.dpublication.com/wp-content/uploads/2021/10/41-20250.pdf">hétérotopies virtuelles</a>, les métavers seront soit des environnements numériques familiers hyperréalistes où les utilisateurs feront virtuellement tout ce qu’ils font déjà dans la vie réelle, soit des environnements fictifs imaginaires dans lesquels les utilisateurs potentiellement dotés de superpouvoirs auront une vie extraordinaire via leur avatar.</p>
<p>Si les projets de métavers se sont multipliés en 2021, ils ne sont pas nouveaux. Depuis 2003, <a href="https://secondlife.com/"><em>Second Life</em></a> offre déjà à ses résidents d’avoir une deuxième vie virtuelle sous une autre identité dans un monde numérique persistant. Ils peuvent s’y rencontrer, et même s’y marier, participer à des événements, assister à des cours ou des concerts, regarder des films, visiter des expositions, ainsi qu’acheter, créer et vendre des objets. <em>Second Life</em> a sa propre monnaie, le Linden, qui a un taux de change en temps réel avec le dollar. Bien que présenté comme le futur d’Internet, <em>Second Life</em> déclinera au fur et à mesure de la croissance des réseaux sociaux.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/iOdqaKL39ww?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Comme faire ses premiers pas sur <em>Second Life</em> ?</span></figcaption>
</figure>
<p>Dans <em>Second Life</em>, il y a une quinzaine d’années que des entreprises comme Accenture, Alstom, Areva, Axa, Capgemini, Dior, Expectra, Lacoste, L’Oréal, Mercedez ou Unilog organisent des réunions de travail, des <a href="https://www.nouvelobs.com/rue89/rue89-tech/20070531.RUE0469/second-life-bienvenue-dans-le-recrutement-2-0.html">séances de recrutement</a>, des tests et des <a href="https://www.strategies.fr/actualites/marques/r44099W/second-life-nouveau-terrain-de-jeu-des-marques-de-luxe.html">lancements de produits</a>, des levées de fonds, des <a href="https://www.carscoops.com/2007/02/mercedes-benz-opens-new-showroom-in/">expositions de voitures</a>, et des <a href="https://www.gawker.com/234078/fashion-week-in-second-life">défilés de mode</a>. La vente d’objets virtuels, les transactions immobilières et la spéculation boursière y sont banales. Cependant, les nouveaux projets de métavers prévoient d’aller beaucoup plus loin en proposant un écosystème complet d’applications, de logiciels et d’environnements intégrés destinés à remplacer complètement Internet.</p>
<h2>Une grande diversité de projets</h2>
<p>Si Facebook se positionne en pionnier du métavers, de nombreuses autres entreprises se sont déjà lancées dans des projets concurrents avec des approches diverses et des ressources plus ou moins importantes comme Microsoft (<a href="https://minecraft.fr/le-plan-de-microsoft-pour-un-metaverse-dans-minecraft/"><em>Minecraft</em>, <em>Halo</em>, et <em>Flight Simulator</em></a>), Sony et <a href="https://www.journaldugeek.com/2021/11/24/epic-games-rachete-un-studio-pour-laider-a-construire-son-metaverse/">Epic Games</a> (<a href="https://www.ladepeche.fr/2021/09/13/fortnite-et-le-metaverse-quand-le-virtuel-sempare-du-reel-9787427.php"><em>Fortnite</em></a>, <a href="https://www.digitaltrends.com/gaming/fall-guys-epic-games-metaverse/"><em>Fall Guys</em></a>), <a href="https://www.cointribune.com/tribunes/tribune-crypto-et-gaming/ubisoft-la-societe-cherche-a-investir-et-a-creer-des-jeux-blockchain/">Ubisoft</a> et Animoca Brands (<a href="https://www.sandbox.game/en/"><em>Sandbox</em></a>), <a href="https://www.lebigdata.fr/metaverse-nvidia">Nvidia et BMW</a>, <a href="https://siecledigital.fr/2021/10/06/a-son-tour-alibaba-se-lance-dans-la-course-au-metaverse/">Alibaba</a> (Ali Metaverse, Taobao Metaverse, et Ding Ding Metaverse), <a href="https://leclaireur.fnac.com/article/48751-niantic-leve-300-millions-dollars-developper-metaverse/">Niantic</a> (Lightship), <a href="https://kr-asia.com/baidu-launches-xirang-metaverse-environment">Baidu</a> (<em>Xirang</em>), <a href="https://www.scmp.com/tech/big-tech/article/3146842/bytedance-makes-another-move-metaverse-acquisition-vr-start-pico">ByteDance</a> (Pico), Huawei (<a href="https://pfw.ac/"><em>Perfect World</em></a>), Sensorium (<a href="https://sensoriumgalaxy.com/">Galaxy</a>), <a href="https://paris-singularity.fr/comment-tencent-se-positionne-en-pionnier-du-metaverse/">Tencent</a>, <a href="https://www.roblox.com/games/6674394294/Metaverse-Champions-Hub"><em>Roblox</em></a>, <a href="https://decentraland.org/"><em>Decentraland</em></a>, <a href="https://enjin.io/"><em>Enjin</em></a>, <a href="https://www.immutable.com/"><em>Immutable X</em></a>, <a href="https://greenparksports.com/"><em>Green Park</em></a>, <a href="https://metahero.io/"><em>Metahero</em></a>, <a href="https://www.cryptovoxels.com/"><em>CryptoVoxels</em></a>, <a href="https://somniumspace.com/"><em>Somnium Space</em></a>, <a href="https://getwinkies.com/fr/"><em>Winkyverse</em></a>, <a href="https://www.ovr.ai/"><em>OVRLand</em></a>, ainsi que les incontournables <a href="https://9to5google.com/2021/11/17/sundar-pichai-google-metaverse/">Google</a>, <a href="https://www.iphon.fr/post/apple-metaverse-power-on">Apple</a> et <a href="https://coinyuppie.com/amazon-the-essence-of-the-metaverse-is-still-cloud-computing/">Amazon</a>.</p>
<p>Le projet de Meta se veut une <a href="https://www.lci.fr/sciences-et-innovation/video-nouveau-logo-nouveau-nom-facebook-meta-a-quoi-va-ressembler-le-metavers-le-futur-d-internet-selon-mark-zuckerberg-2200373.html">évolution non seulement des réseaux sociaux, mais de tout Internet</a>. Le métavers tel que le voit Mark Zuckerberg reproduira le monde réel en réalité virtuelle multidimensionnelle avec des lieux de rencontre en famille ou entre amis, des boutiques où faire du shopping pour son avatar ou pour soi-même, des activités et des événements socioculturels, des espaces de jeu et de divertissement audiovisuel, des écoles et universités numériques, ainsi que des entreprises et des lieux virtuels de travail et de création. Pour atteindre l’objectif d’un milliard d’utilisateurs en 2030, Meta investit 10 milliards de dollars dans Facebook Reality Labs dès 2021, et probablement encore plus les années suivantes.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/uVEALvpoiMQ?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Travailler dans le métavers.</span></figcaption>
</figure>
<p>D’autres métavers ressembleraient plus au jeu <em>Oasis</em> du film <em>Ready Player One</em> : des univers vidéoludiques entièrement ouverts où les joueurs pourraient vivre de simples expériences sociales ou des aventures héroïques. Epic Games, l’éditeur de <a href="https://theconversation.com/fortnite-un-phenomene-economique-social-sportif-et-culturel-124543"><em>Fortnite</em>, le jeu le plus populaire et le plus rentable de tous les temps</a>, a déjà réussi à créer un monde virtuel persistant avec sa propre économie et sa monnaie. Les concerts virtuels de la chanteuse Ariana Grande, du rappeur Travis Scott et du DJ Marshmello y ont rassemblé des millions de spectateurs en live.</p>
<p>Epic Games est propriétaire d’Unreal Engine, le moteur de jeu tellement photoréaliste qu’il en devient presque impossible de le distinguer de la réalité. Après avoir racheté Mediatonic – le studio à l’origine de <em>Fall Guys</em> – et Harmonix – créateur de la franchise <em>Guitar Hero</em> – Epic Games <a href="https://www.epicgames.com/site/en-US/news/announcing-a-1-billion-funding-round-to-support-epics-long-term-vision-for-the-metaverse">a levé 1 milliard de dollars</a>, dont 200 millions du Groupe Sony, pour concrétiser la vision de son PDG et fondateur Tim Sweeney.</p>
<p>Microsoft considère que certains de ses jeux sont déjà des métavers, en particulier Minecraft et Halo. Thème le plus visionné sur YouTube en 2020, Minecraft est parfois présenté comme le <a href="https://www.windowscentral.com/minecraft-is-the-greatest-game-ever-made">meilleur jeu jamais créé</a> car il est devenu bien plus. Avec plus de 140 millions d’utilisateurs actifs, c’est un lieu de rencontre, de loisir, de créativité, d’apprentissage et d’entrepreneuriat. <a href="https://rsf.org/fr/actualites/rsf-inaugure-la-bibliotheque-libre-un-centre-numerique-de-la-liberte-de-la-presse-au-sein-dun-jeu">Reporters Sans Frontières a inauguré dans Minecraft sa Bibliothèque Libre</a> qui regroupe des articles et des livres censurés dans leur pays d’origine.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/DDzK-kcRU5s?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Reporters sans frontières aide les journalistes censurés grâce à Minecraft.</span></figcaption>
</figure>
<p>Parmi les autres projets qui se distinguent, Nvidia a commencé à <a href="https://www.lebigdata.fr/metaverse-nvidia">créer un double numérique du monde</a> qui pourra être utilisé pour des expérimentations virtuelles destinées à être déployées ensuite dans le monde réel. De son côté, Niantic développe un <a href="https://nianticlabs.com/blog/real-world-metaverse/">« métavers du monde réel »</a> en réalité augmentée via sa plate-forme Lightship dont le but est d’améliorer les expériences physiques grâce au numérique. <a href="https://www.cnetfrance.fr/news/qualcomm-snapdragon-spaces-pour-des-lunettes-intelligentes-telles-que-vous-les-vouliez-39932189.htm">Un partenariat avec Qualcomm</a> devrait donner naissance à des lunettes capables de superposer avec une très grande précision des éléments virtuels interactifs sur des éléments réels.</p>
<h2>Les progrès des technologies immersives</h2>
<p>Le métavers tel qu’il est envisagé par les géants de la Silicon Valley est devenu possible grâce aux récents progrès technologiques. Il associera la réalité virtuelle et augmentée, l’intelligence artificielle, la blockchain et les cryptomonnaies, les réseaux sociaux et la téléconférence, la simulation 3D et l’imagerie dynamique, l’e-commerce et l’e-business, la 5G et <a href="https://www.highspeedinternet.com/resources/6g-internet">bientôt la 6G</a>.</p>
<p>Avec Oculus, Meta propose des casques et des manettes de réalité virtuelle qui atteignent des niveaux de performance impressionnants, nécessaires pour évoluer dans le métavers. <a href="https://www.oculus.com/quest-2/">Le modèle Quest 2</a>, considéré comme le <a href="https://www.lesnumeriques.com/casque-realite-virtuelle/face-a-face/59017-58071.html">meilleur sur le marché</a>, est moins cher que ses concurrents de Sony, HP ou HTC, tout en étant plus puissant, plus léger, plus ergonomique, plus simple, avec une meilleure réactivité aux mouvements et une image plus nette et plus fluide.</p>
<p>Son processeur graphique ultra rapide et ses haut-parleurs intégrés qui diffusent un audio positionnel en 3D cinématographique procurent un fort sentiment d’immersion qui ne sera peut-être surpassé que par le <a href="https://www.frandroid.com/marques/apple/1150039_le-casque-de-vr-dapple-aurait-un-argument-de-taille-face-a-ses-concurrents">futur casque VR d’Apple attendu pour 2022</a>, mais qui serait 3 fois plus cher.</p>
<p>Microsoft a choisi la réalité mixte avec <a href="https://www.microsoft.com/fr-fr/hololens">sa gamme HoloLens de lunettes holographiques</a>. Destinées aux professionnels de la construction, de l’industrie, de la santé, et de l’éducation. Ce casque-ordinateur peut afficher des données et des instructions, créer et imprimer des modélisations 3D, et générer des hologrammes pour reproduire des objets ou des environnements distants.</p>
<p>La technologie haptique a beaucoup fait parler d’elle en 2020 à l’occasion de la <a href="https://theconversation.com/ps5-en-rupture-mondiale-desastre-ou-genie-marketing-150692">sortie de la PlayStation 5</a>. En effet, les manettes DualSense de la console sont réputées pour procurer des sensations extraordinaires comme percevoir les effets des gouttes de pluie. Elles génèrent des vibrations qui permettent de distinguer différentes armes dans les jeux de tir, et différentes pistes dans les jeux de courses.</p>
<p>Il y a quelques semaines, <a href="https://www.businessinsider.fr/mark-zuckerberg-utilise-les-gants-haptiques-mis-au-point-par-meta-pour-ressentir-les-objets-du-metavers-189170">Mark Zuckerberg a testé pour la première fois des gants haptiques</a> mis au point par Meta qui donnent une sensation de toucher très réaliste des objets et des textures en réalité virtuelle. Plusieurs vestes haptiques commencent à être commercialisées avec les modèles de <a href="https://optimaldesignco.com/case_studies/void/">The Void</a>, <a href="https://www.bhaptics.com/tactsuit">bHaptics</a>, ou <a href="https://www.actronika.com/post/live-the-most-immersive-vr-experience-with-the-skinetic-vr-vest">Actronika</a>.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/AEiUjU4s2XE?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">La veste haptique Skinetic de la société française Actronika.</span></figcaption>
</figure>
<p>Cependant, ce sont de véritables <a href="https://www.bhaptics.com/">combinaisons intégrales haptiques</a> qui voient le jour et qui permettront de reproduire pleinement le sens du toucher pour ressentir les effets de l’environnement et les contacts avec des personnes et des objets. Ces combinaisons mesureront également les données biométriques en temps réel et stimuleront la mémoire musculaire ce qui ouvre des possibilités infinies d’applications sportives et militaires.</p>
<h2>Une vie parallèle totalement sous contrôle</h2>
<p>Le métavers supprimera les frontières entre réalité et fiction et donnera un fort sentiment de présence dans des lieux qui n’existent pas et avec des personnes qui peuvent être à des milliers de kilomètres, ou avec des personnages imaginaires pilotés par une IA. L’idée principale est que les individus et les organisations puissent y cohabiter et y évoluer via des avatars sans les contraintes matérielles du monde physique.</p>
<p>Plusieurs questions se posent alors. Doit-on laisser une entreprise aussi dominante que Meta, qui a fait l’objet de <a href="https://www.nytimes.com/2021/10/03/technology/whistle-blower-facebook-frances-haugen.html">plusieurs polémiques en 2021</a> et de <a href="https://www.businessinsider.com/mark-zuckerberg-scandals-last-decade-while-running-facebook-2019-12 ?IR=T">nombreuses autres controverses</a> depuis sa création, créer une plate-forme tellement puissante qu’elle permettra de contrôler tous les aspects de notre vie ? Quelles sont les garanties données aux utilisateurs des métavers que ces espaces virtuels seront sécurisés et éthiques ? Comment éviter une hypercentralisation de l’activité numérique où une seule entité privée gérera toutes nos interactions sociales et nos transactions pour en tirer profit ?</p>
<p>Ces inquiétudes sont d’autant plus légitimes que le projet de Meta conduit par nature à une situation monopolistique en voulant remplacer tout Internet. D’une part il n’est rentabilisé et ne fonctionne de manière optimale qu’au-delà d’une taille critique très grande. D’autre part les utilisateurs, qui ont un temps limité et cherchent à optimiser leurs activités numériques, vont choisir de manière quasi exclusive d’être présents dans un seul métavers.</p>
<p>La démarche de Meta semblerait donc aboutir à une <a href="https://www.protocol.com/newsletters/gaming/facebook-meta-rebrand-gaming-competition ?rebelltitem=1#rebelltitem1">propriété et un contrôle total du métavers</a> à travers le matériel et le système d’exploitation. Cependant, Meta affirme déjà que son métavers sera ouvert, collaboratif, et interopérable avec des standards universels. Comme Internet, il ne serait la propriété de personne et serait régulé par toutes les parties prenantes, dont les pouvoirs publics. Plusieurs métavers pourraient coexister et être connectés les uns aux autres, ce qui limiterait la captivité et les dérives.</p>
<p>Cependant, à défaut d’une régulation par les gouvernements qui sont toujours très en retard sur la technologie, il semble essentiel que les <a href="https://www.forbes.com/sites/cathyhackl/2020/08/02/now-is-the-time-to-talk-about-ethics%20--%20privacy-in-the-metaverse/ ?sh=6c7eb54aae6c">entreprises s’accordent sur de bonnes pratiques</a> en matière de respect de la vie privée, de cybersécurité, de lutte contre la désinformation, et de consentement éclairé des consommateurs vis-à-vis des technologies utilisées dans les métavers.</p><img src="https://counter.theconversation.com/content/169695/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Oihab Allal-Chérif ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Si Meta semble déjà être leader, des dizaines de projets très différents de métavers sont en compétition. Qui remportera cette guerre pour le contrôle total de nôtre vie numérique ?Oihab Allal-Chérif, Business Professor, Neoma Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1710322021-11-24T11:24:00Z2021-11-24T11:24:00ZQue font les hackers de vos données volées ?<figure><img src="https://images.theconversation.com/files/432985/original/file-20211121-13-1uxvzx8.jpg?ixlib=rb-1.1.0&rect=74%2C67%2C4345%2C2829&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Rien que sur l'année 2020, 3950 fuites de données ont été détectées.</span> <span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-photo/hands-typing-on-laptop-computer-table-1414373417">Shutterstock</a></span></figcaption></figure><p>Le piratage des données est devenu une problématique majeure, dont les exemples sont quotidiens. Rien que sur l’année 2020, 3 950 fuites de données ont été détectées, selon une <a href="https://enterprise.verizon.com/resources/executivebriefs/2020-dbir-executive-brief.pdf">vaste enquête</a> menée récemment par la société Verizon.</p>
<p>Le plus souvent, elles touchent de grandes plates-formes numériques (Facebook, LinkedIn, etc.) ou des acteurs socio-économiques importants – c’est le cas dans 72 % des cas recensés – et elles engendrent une fuite de données personnelles dans 58 % de l’ensemble des cas. Les données personnelles sont en effet une cible de choix et cette fuite affecte aussi bien l’opérateur de services que les utilisateurs eux-mêmes.</p>
<p>Une fuite de données peut donc concerner des données personnelles, qui sont en réalité des données de clients ou d’utilisateurs d’un service, mais également des données liées à l’organisation elle-même. Citons par exemple les informations de transactions d’une entreprise, les résultats de tests ou d’expérimentation de nouveaux produits ou services, etc.</p>
<p>La plate-forme <a href="https://gamergen.com/actualites/twitch-enorme-hack-fait-fuiter-revenus-streameurs-et-projet-vapor-concurrencer-steam-vos-donnees-personnelles-danger-324012-1">Twitch</a> a récemment été victime d’une telle attaque, au cours de laquelle le code source du réseau (qui explicite son mode de fonctionnement, ses règles internes, l’algorithme de valorisation des contenus publiés…), ainsi que des éléments liés à un projet interne concurrentiel, ont été piratés.</p>
<h2>Qu’est-ce qu’une « fuite de données » ?</h2>
<p>Les fuites de données d’entreprises ou d’organisations ont toujours existé. Le développement et l’usage démocratisé d’outils numériques les ont évidemment renforcées et facilitées. Globalement, la fuite de données correspond à tout incident au cours duquel des informations sensibles ou confidentielles liées ou appartenant à une organisation ont été consultées ou extraites sans autorisation.</p>
<p>Les méthodes utilisées pour y arriver sont variées et elles évoluent au fur et à mesure des avancées technologiques. <a href="https://www.economie.gouv.fr/entreprises/methodes-piratage">Le site du ministère de l’Économie, des Finances et de la Relance</a> présente de manière très claire les méthodes les plus courantes.</p>
<p>Certaines sont aujourd’hui relativement bien connues du grand public, comme le « phishing », le rançongiciel, ou encore les logiciels malveillants. Elles ont été mises en lumière depuis plusieurs années par des événements marquants, comme en février 2021, <a href="https://www.lemonde.fr/pixels/article/2021/02/15/apres-celui-de-dax-l-hopital-de-villefranche-paralyse-par-un-rancongiciel_6070049_4408996.html">l’attaque informatique</a> qui a paralysé les hôpitaux des villes de Dax et Villefranche.</p>
<p>Néanmoins, d’autres méthodes moins connues exposent tout autant les utilisateurs non sensibilisés ou imprudents.</p>
<h2>De nouvelles méthodes</h2>
<p>On peut notamment citer le faux réseau wifi, ou encore le piratage au travers d’une connexion à un réseau ouvert et libre d’accès, comme le <a href="https://www.kaspersky.fr/resource-center/preemptive-safety/public-wifi-risks">présente</a> Kaspersky, l’une des sociétés de renom de protection informatique.</p>
<p>Ces méthodes de piratage utilisent les failles que peut présenter tout système informatique, failles parmi lesquelles l’utilisateur du système est lui-même inclus, que cela soit par négligence ou méconnaissance.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1222383522742140928"}"></div></p>
<p>Pour autant, la fuite de données n’est pas systématiquement due à un acteur extérieur. Elle peut également être provoquée de manière volontaire par un employé pour son profit personnel ou par envie de nuire à l’image d’une entreprise.</p>
<p>À ce jour, la plus grosse fuite de données connue est <a href="https://www-statista-com.ezp.em-lyon.com/statistics/290525/cyber-crime-biggest-online-data-breaches-worldwide/">l’exemple de Yahoo dont en 2013</a>, il est estimé que 3 milliards de données ont été volées, contenant noms, adresses e-mail, dates de naissance, mots de passe, etc.</p>
<h2>Les tiers, chevaux de Troie des hackeurs</h2>
<p>Selon une <a href="https://www.egress.com/media/n0wi0s0q/egress-2021-data-loss-prevention-report.pdf">enquête</a> menée par l’entreprise anglaise Egress Software, représentativement parmi l’échantillon analysé, 30 % des incidents sont liés à un piratage externe, 24 % à une erreur interne, le même taux à une perte intentionnelle de données et 18 % liés à une faille de sécurité d’un fournisseur tiers.</p>
<p>En effet, la faille peut également provenir des solutions tierces que les entreprises et nous-mêmes individus utilisons tous les jours. <a href="https://www.lebigdata.fr/solarwinds-cyberattaque-historique-usa">L’une des plus récentes illustrations</a> concerne la cyberattaque subie par la société américaine SolarWinds, qui fournit notamment un logiciel de gestion informatique auprès d’acteurs économiques et gouvernementaux. Cette attaque a permis aux hackeurs un accès dérobé aux données de dizaines de milliers de leurs clients.</p>
<p>D’où l’importance des enjeux liés à la cybersécurité aujourd’hui. Il apparaît d’ailleurs que le travail à distance a renforcé les risques d’exposition aux failles notamment à travers l’explosion de l’utilisation de solutions numériques, comme les messages instantanés, l’envoi de courriels, ou la copie physique de données.</p>
<h2>Acteurs internes ou hackeurs externes</h2>
<p>Les fuites de données sont donc d’origines variées. Cela ne signifie pas que les enjeux liés à ces fuites sont toujours à fort impact. Difficile d’ailleurs d’évaluer quelle est la répartition du nombre de fuites de données selon leurs niveaux d’impact, puisqu’une partie d’entre elles ne sont jamais détectées, et une autre partie jamais révélée.</p>
<p>Comme nous l’avons vu précédemment, les fuites de données peuvent être dues à des acteurs multiples internes comme externes à une organisation spécifique. Les acteurs internes concernent ceux qui ont ou peuvent avoir accès (parfois par contournement) aux données cibles.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1453505099364503552"}"></div></p>
<p>Les acteurs externes constituent ce que l’on désigne plus communément aujourd’hui comme les « hackeurs ». Ce sont des profils à fortes compétences informatiques et en cybersécurité pour détourner les systèmes de sécurité informatique.</p>
<p>Ceux-ci travaillent aussi bien pour leur propre compte, que pour des structures diverses, incluant des entreprises, des organisations gouvernementales, etc., en fait, toute structure qui souhaiterait bénéficier de l’accès à des données ne lui appartenant pas.</p>
<h2>Déstabilisation, concurrence, monnaie d’échange</h2>
<p>La finalité de ces piratages ou fuites de données est également assez variée. Cela peut être pour déstabiliser (nuire à l’image, ou déstabiliser la position stratégique), pour espionner, ou encore <a href="https://www.ssi.gouv.fr/entreprise/principales-menaces/">saboter un projet, une organisation ou une personne spécifique</a>.</p>
<p>En effet, la fuite établie et rendue publique de données peut ainsi <a href="https://www.presse-citron.net/les-fuites-de-donnees-font-elles-peur-aux-consommateurs/">faire peur aux utilisateurs</a> de services et solutions en ligne (qu’ils soient des individus ou des organisations), ternir l’image d’un concurrent (potentiel ou existant), mais également rendre frileux de potentiels investisseurs financiers.</p>
<p>Les données sont donc ainsi soit réutilisées directement comme élément constituant un avantage concurrentiel, comme monnaie d’échange (sous la forme de chantage par exemple, c’est le cas du rançongiciel), ou revendues.</p>
<p>Dans ce dernier cas, un espace numérique sur le web désigné comme le <em>dark web</em>, permet d’échanger, vendre et acheter de multiples articles illégaux. Après utilisation initiale, certaines données se retrouvent même à circuler davantage et librement au travers des communautés de hackeurs, comme le décrit <a href="https://siecledigital.fr/2019/02/03/hackers-22-milliards-dadresses-piratees-en-quasi-libre-service/">ici l’article de Siècle digital datant de 2019</a>.</p>
<h2>Comment s’en protéger</h2>
<p>Les hackeurs individuels peuvent se regrouper en communautés et s’appliquer une éthique spécifique. Chacune des communautés défendant ainsi <a href="https://doi-org.ezp.em-lyon.com/10.1016/S1353-4858(11)70075-7">leur vision du monde</a>. Très récemment (octobre 2021), 12 « hackeurs » ont été arrêtés par Europol pour leurs méfaits en ligne.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/0kK902-ZvNM?wmode=transparent&start=60" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">The Dangers of a Data Breach (Kaspersky Lab, 12 décembre 2017).</span></figcaption>
</figure>
<p>Certains chercheurs posent également des questions d’éthique liées aux méthodes de protection elles-mêmes, et proposent un cadre à suivre, comme récemment présenté <a href="https://doi-org.ezp.em-lyon.com/10.1016/j.cose.2021.102382">ici</a> par Formosa <em>et al</em>. en octobre dernier. Il s’agit notamment ici de discuter si la protection doit elle-même s’appuyer sur les mêmes outils et méthodes utilisées lors de piratages.</p>
<p>Le <a href="https://www.ssi.gouv.fr/en-cas-dincident/">site de l’Agence nationale de la sécurité des systèmes d’information</a> rappelle les bons gestes que ce soit en tant qu’individu ou organisation.</p>
<p>Des sites existent en outre pour tester si nos données personnelles individuelles <a href="https://start.lesechos.fr/innovations-start-up/tech-futur/ces-sites-qui-permettent-de-savoir-si-vous-votre-adresse-mail-et-votre-numero-de-telephone-avez-ete-pirate-1306177">ont été piratées</a> (et si ces données se retrouvent donc disponibles à travers le web).</p><img src="https://counter.theconversation.com/content/171032/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Benoit Loeillet est membre de l'association européenne MyData. </span></em></p>Les attaques de serveurs et avec elles le piratage de données explosent. Comment sont-elles menées, par qui, à quelles fins et comment s’en protéger ?Benoit Loeillet, Associate professor, EM Lyon Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1716222021-11-21T16:51:36Z2021-11-21T16:51:36ZVidéo-surveillance : où vont nos données ?<figure><img src="https://images.theconversation.com/files/432350/original/file-20211117-23-1e9snl9.jpg?ixlib=rb-1.1.0&rect=17%2C560%2C1899%2C1350&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Ne souriez plus, vos données s'envolent et... vous ne pourrez pas les récupérez. </span> <span class="attribution"><a class="source" href="https://pixabay.com/fr/photos/imeuble-mur-structure-2598899/">Stocksnap/pixabay</a>, <a class="license" href="http://creativecommons.org/licenses/by-nc-nd/4.0/">CC BY-NC-ND</a></span></figcaption></figure><p>Remise au-devant de l’actualité récente sous la forme d’une <a href="https://www.lci.fr/justice-faits-divers/tirs-contre-la-police-a-lyon-darmanin-reclame-plus-de-cameras-de-surveillance-2200105.html">injonction au maire de Lyon</a>, la vidéosurveillance sur la voie publique ne s’est jamais aussi bien portée. Pour autant, quel est son encadrement juridique en France et quels en sont ses usages réels ?</p>
<p>Juridiquement, la possibilité d’installer des caméras de surveillance sur la voie publique (qu’il s’agisse de rues ou de routes voire autoroutes) ou dans les lieux publics (transports en commun, bâtiments administratifs, etc.) <a href="https://www.service-public.fr/particuliers/vosdroits/F2517">relève de la compétence des autorités publiques</a>. La décision peut donc être prise par un maire, le président d’une communauté de communes, le directeur d’une prison ou le responsable d’un service de transports par exemple.</p>
<h2>Un cadre juridique restreint</h2>
<p>Si la caméra filme la rue, l’installation du système est subordonnée à une autorisation du préfet (valable cinq ans), et nécessite un avis de la <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037825998">« commission départementale de vidéoprotection »</a>, présidée par un magistrat. En cas d’urgence liée par exemple à un projet terroriste, cet avis peut être repoussé temporairement.</p>
<p>La mise en place de la vidéo-surveillance doit répondre de <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041599395/">finalités prévues par la loi</a>. Celles-ci sont néanmoins, comme souvent en la matière, rédigées de manière particulièrement large : « protection des bâtiments et installations publics », « prévention des atteintes à la sécurité », etc.</p>
<p>Depuis 2011, les acteurs privés comme les commerçants peuvent également mettre en place de tels caméras aux abords immédiats de leur établissement, <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041599395/">après autorisation du maire</a>.</p>
<p>Dans tous les cas, une limite importante se trouve dans l’interdiction formelle de filmer, même accidentellement, des <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000025505412">lieux d’habitation</a>. Les caméras doivent être orientées de telle manière à ne pas viser de maisons ou d’immeubles, ou, à défaut, équipées de système de floutage des façades.</p>
<p>La <a href="https://www.cnil.fr/fr/la-loi-informatique-et-libertes">Loi Informatique et Libertés</a>, également d’application pour ces dispositifs lorsqu’ils permettent la collecte et l’enregistrement de <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037825998">données identifiantes</a>, c’est-à-dire permettant de reconnaître des individus dans la rue ou dans les commerces, <a href="https://www.cnil.fr/fr/la-videosurveillance-videoprotection-sur-la-voie-publique">impose également un processus particulier</a>, nécessitant parfois l’autorisation de la CNIL.</p>
<p>Les établissements privés ouverts aux publics (bars, restaurants, etc.) peuvent également mettre en place ces dispositifs à l’intérieur de leurs locaux mais selon des <a href="https://www.legifrance.gouv.fr/loda/id/LEGIARTI000020150477/2009-01-25/">modalités plus rigoureuses</a>.</p>
<p>Enfin, en dehors de ces règles et même si ce n’est pas prévu par la loi, la Cour de cassation autorise la mise en place de <a href="https://www.dalloz-actualite.fr/flash/videosurveillance-sur-voie-publique-durant-l-enquete-conditions-d-autorisation">vidéo-surveillance spéciale et ponctuelle</a> pour les besoins d’une enquête judiciaire.</p>
<h2>Le développement d’une vidéo-surveillance parallèle</h2>
<p>Ces systèmes classiques de vidéo-surveillance par caméras installées se doublent aujourd’hui de nouveaux dispositifs qui ne répondent pas de cet encadrement juridique classique. Il s’agit d’une part de l’usage des drones, et d’autre part des caméras individuelles utilisées par les forces de l’ordre.</p>
<p>L’utilisation des drones comme dispositif de vidéo-surveillance par les forces de l’ordre fait l’objet d’une véritable saga juridique débutée notamment <a href="https://www.vie-publique.fr/en-bref/278140-drones-de-surveillance-la-cnil-sanctionne-le-ministere-de-linterieur">lors du confinement</a>, passant par plusieurs interdictions données par le <a href="https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-18-mai-2020-surveillance-par-drones">Conseil d’État</a>, une intégration dans la loi <a href="https://www.usine-digitale.fr/article/que-prevoit-la-loi-securite-globale-definitivement-adoptee-sur-les-drones-de-surveillance.N1082964">Sécurité globale</a> et enfin une censure par le <a href="https://www.conseil-constitutionnel.fr/decision/2021/2021817DC.htm">Conseil constitutionnel</a>.</p>
<p>Si le gouvernement tient autant à autoriser le recours à ces dispositifs, c’est qu’ils permettent, désormais équipés de caméras de très haute résolution, une couverture virtuellement illimitée en vidéo-surveillance de tout le territoire. Leur usage, très périlleux pour les libertés fondamentales, doit néanmoins <a href="https://www.franceinter.fr/avec-une-nouvelle-loi-les-drones-pour-filmer-les-manifestations-reviennent-par-la-petite-porte">encore trouver un équilibre juridique</a>.</p>
<p>En parallèle, se généralise également le déploiement de <a href="https://www.legifrance.gouv.fr/jorf/article_jo/JORFARTI000043530293?r=0W5GS0kMVZ">« caméras-piétons »</a> qui équipent les forces de l’ordre et même les agents assermentés de sociétés de transport, autorisant l’enregistrement des images et du son de certaines interventions ou contrôles.</p>
<h2>Un devenir incertain des données</h2>
<p>Que deviennent toutes les images ainsi collectées, qu’il s’agisse des outils classiques de vidéo-surveillance sur la voie publique ou de celles des nouveaux dispositifs de captation vidéo ?</p>
<p>La première catégorie d’images est traitée par le service qui a demandé l’installation des caméras, qu’il s’agisse d’une <a href="https://www.lemonde.fr/fragments-de-france/article/2021/10/20/libourne-ville-sous-surveillance_6099190_6095744.html">municipalité</a> ou d’une autre structure publique. Cela doit être prévu explicitement, ainsi que la durée de conservation des images <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000025505435">qui ne peut excéder un mois</a>.</p>
<p>Les vidéos collectées par les caméras individuelles des forces de l’ordre sont quant à elles transmises aux services de police ou de gendarmerie et conservées six mois.</p>
<p>Durant leur temps de conservation, l’ensemble de ces données peut faire l’objet de <a href="https://www.lagazettedescommunes.com/642140/requisition-des-images-de-videoprotection-quelles-sont-les-regles/">réquisitions</a>, c’est-à-dire de demandes par les services de police ou de gendarmerie dans le cadre d’une enquête ou d’une instruction. Dans ce cas, <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000025505435">plus de durée maximum</a> car les vidéos intègrent le dossier pénal.</p>
<p>Depuis l’adoption de la loi <a href="https://www.lemonde.fr/societe/article/2021/04/15/les-principaux-articles-de-la-loi-securite-globale-definitivement-adoptee-par-l-assemblee-nationale_6076884_3224.html">Sécurité globale</a>, les images captées par les caméras individuelles des forces de l’ordre peuvent également, en parallèle de leur enregistrement, être transmises en flux direct au centre de commandement.</p>
<h2>Une exploitation limitée</h2>
<p>Comment assurer le traitement efficace de ces milliers d’heures d’enregistrement ? Si certaines villes décident de s’équiper de centres de traitement voyant <a href="https://www.nice.fr/fr/securite/le-centre-de-supervision-urbain">se relayer un personnel 24h/24</a>, la difficulté est bien réelle. Ce n’est pas tout d’avoir des caméras, encore faut-il avoir des humains derrière les écrans.</p>
<p>Cette problématique est-elle en passe de se voir résolue par les nouveaux usages de la vidéosurveillance, fondés sur les outils algorithmiques, la reconnaissance faciale voire l’intelligence artificielle ?</p>
<p>Le recours à de tels outils a en tout cas de quoi séduire les décideurs publics, et ce à l’ère des <a href="https://www.nicecotedazur.org/europe/ville-intelli/smart-city-innovation-center">« smart cities »</a> ou « villes intelligentes ». Pourtant, ils constituent bien davantage une forme nouvelle de <a href="https://technopolice.fr/">« techno-police »</a> et posent de vrais problèmes sur nos libertés fondamentales.</p>
<h2>De nouveaux usages problématiques</h2>
<p>Que penser en effet de la <a href="https://droit.developpez.com/actu/313581/France-les-senateurs-disent-non-a-un-amendement-visant-a-interdire-la-reconnaissance-faciale-via-des-cameras-embarquees-dans-le-cadre-de-la-proposition-de-loi-sur-la-securite-globale/">possibilité laissée</a> aux policiers et aux gendarmes d’utiliser leurs outils de reconnaissance faciale (<a href="https://www.legifrance.gouv.fr/codes/id/LEGISCTA000025818428">prévus notamment dans le cadre du principal fichier de police</a>) sur les images obtenues par les caméras embarquées ?</p>
<p>Rien n’interdira ainsi que demain, lors d’une manifestation, les nombreux policiers présents, tous équipés de telles caméras (<a href="https://www.interieur.gouv.fr/fr/Actualites/Communiques/Gerald-Darmanin-confirme-le-deploiement-d-une-nouvelle-generation-de-cameras-pietons-a-compter-du-1er-juillet">qui ont vocation à être généralisées</a>) reçoivent dans leurs oreillettes, en direct, l’identité et les informations relatives aux personnes qui se trouvent en face d’eux, leur signalant tel ou tel individu déjà connu. Cette pratique se réaliserait en dehors du cadre juridique relativement contraint des <a href="https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006071154/LEGISCTA000006151880/#LEGISCTA000006151880">contrôles d’identité</a>.</p>
<p>De même, les expérimentations de recours à la <a href="https://www.franceinter.fr/reconnaissance-faciale-officiellement-interdite-elle-se-met-peu-a-peu-en-place">reconnaissance faciale</a> par les caméras de vidéosurveillance classiques se multiplient, même si la CNIL reste encore, heureusement, <a href="https://www.usine-digitale.fr/article/reconnaissance-faciale-la-cnil-adresse-un-avertissement-a-la-ville-de-valenciennes.N1130989">très vigilante et si l’interdiction reste le principe</a>. La question de son utilisation lors des prochains Jeux olympiques de Paris <a href="https://www.ouest-france.fr/leditiondusoir/2021-03-18/drones-reconnaissance-faciale-la-technologie-sera-au-c%C5%93ur-de-la-securite-des-jo-de-paris-en-2024-e0227705-48df-4593-806a-08acf3f66a1b">a d’ailleurs été évoquée</a>, même si elle semble <a href="https://www.20minutes.fr/sport/3146951-20211013-jeux-olympiques-paris-2024-securite-passera-reconnaissance-faciale">aujourd’hui écartée</a>.</p>
<p>La reconnaissance faciale n’est pas la seule technologique pouvant se nourrir des images de vidéosurveillance. L’utilisation de <a href="https://www.cnil.fr/fr/verbalisation-par-lecture-automatisee-des-plaques-dimmatriculation-lapi-la-cnil-met-en-garde">techniques de reconnaissance automatique de plaque</a> (LAPI) permettant la vidéo-verbalisation de nombreuses infractions et l’identification immédiate de véhicules est <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000020665029/">désormais possible dans notre droit</a> et tend, là aussi, à se généraliser.</p>
<p>Enfin, le recours à des formes d’intelligence artificielle, de « police prédictive », peut également contribuer à l’exploitation de ces données, au moins, pour le moment, en <a href="https://www.lemonde.fr/fragments-de-france/article/2021/10/20/libourne-ville-sous-surveillance_6099190_6095744.html">suggérant aux forces de l’ordre où regarder parmi le flux d’images</a>.</p>
<h2>Nombreux risques et faible efficacité</h2>
<p>Pourtant, ces outils constituent des risques très importants pour nos libertés individuelles, au premier rang desquels figure la <a href="https://www.vie-publique.fr/fiches/23877-quest-ce-que-la-liberte-de-circulation-ou-liberte-daller-venir">liberté d’aller et venir</a>. Demain, en effet, la généralisation des caméras couplées à la reconnaissance faciale et à la lecture automatique des plaques pourra permettre, au moins virtuellement, la géolocalisation de tout individu sur le territoire. Or, l’exercice plein de cette liberté nécessite une forme d’anonymat : je n’irais en effet sans doute pas aussi librement rencontrer une personne ou me rendre à une réunion politique si je sais que mon déplacement peut être enregistré.</p>
<p>Tous les outils techniques sont déjà en place pour cela, même si l’encadrement juridique y fait encore, heureusement, en partie barrage. Le <a href="https://www.cnil.fr/fr/le-fichier-des-titres-electroniques-securises-tes">fichier des cartes d’identité et des passeports</a> contient ainsi une photographie de chacun d’entre nous, mais n’est pas accessible aux forces de l’ordre et n’autorise pas la reconnaissance faciale. Un simple texte réglementaire pourrait néanmoins modifier ce point, même si ce n’est, pour le moment, pas à l’ordre du jour.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/432355/original/file-20211117-21-1xsvjfo.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/432355/original/file-20211117-21-1xsvjfo.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=389&fit=crop&dpr=1 600w, https://images.theconversation.com/files/432355/original/file-20211117-21-1xsvjfo.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=389&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/432355/original/file-20211117-21-1xsvjfo.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=389&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/432355/original/file-20211117-21-1xsvjfo.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=489&fit=crop&dpr=1 754w, https://images.theconversation.com/files/432355/original/file-20211117-21-1xsvjfo.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=489&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/432355/original/file-20211117-21-1xsvjfo.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=489&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">D’une solution miracle, la vidéo-surveillance, semble constituer l’illustration d’une technologisation des formes de contrôle et de surveillance, à l’efficacité douteuse, mais aux dangers réels.</span>
<span class="attribution"><a class="source" href="https://pixabay.com/fr/photos/mer-oc%c3%a9an-l-eau-vagues-nature-2560912/">Stocksnap/pixabay</a>, <a class="license" href="http://creativecommons.org/licenses/by-nc-nd/4.0/">CC BY-NC-ND</a></span>
</figcaption>
</figure>
<p>Ces transformations sont d’autant plus préoccupantes que l’efficacité réelle de la vidéo-surveillance sur la délinquance et la criminalité n’a jamais été démontrée. Une longue étude récente menée notamment par <a href="https://www.cairn.info/l-enseignement-universitaire-en-milieu-carceral%20--%209791034606399-page-254.htm">Laurent Muchielli</a> en atteste :</p>
<blockquote>
<p>« Les résultats soulignent la grande faiblesse de la contribution de la vidéosurveillance à la lutte contre la criminalité. »</p>
</blockquote>
<p>Au mieux, elle ne fait que <a href="https://www.lemonde.fr/les-decodeurs/article/2018/05/17/la-videosurveillance-est-elle-efficace_5300635_4355770.html">déplacer la délinquance</a> d’un quartier à un autre.</p>
<p>L’efficacité sur la résolution des enquêtes est également difficile à évaluer, mais semble marginale, comme le pointait l’année dernière la <a href="https://www.lagazettedescommunes.com/703132/la-videosurveillance-dans-le-viseur-de-la-cour-des-comptes/">Cour des comptes</a> qui en dénonçait le prix exorbitant pour un résultat très limité. Cela est notamment dû à la quantité d’images et aux faiblesses structurelles des outils (<a href="https://www.lemonde.fr/pixels/article/2018/02/12/une-etude-demontre-les-biais-de-la-reconnaissance-faciale-plus-efficace-sur-les-hommes-blancs_5255663_4408996.html">dont certains subissent même des biais racistes</a>).</p>
<p>D’une solution miracle, la vidéo-surveillance, <a href="https://www.interieur.gouv.fr/Videoprotection">renommée habilement depuis quelques années déjà vidéo-protection</a>, semble ainsi constituer l’illustration d’une technologisation des formes de contrôle et de surveillance, à l’efficacité douteuse, mais aux dangers réels.</p>
<p>Elle incarne ce <a href="https://www.lemonde.fr/blog/internetactu/2018/06/02/videosurveillance-paradigme-du-technosolutionnisme/">« paradigme du techno-solutionnisme »</a>, plus empreint de considérations politiques et industrielles que de souci véritable du bien commun.</p><img src="https://counter.theconversation.com/content/171622/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Yoann Nabat ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Le déploiement exponentiel des caméras conduit corrélativement à une production et à un enregistrement toujours plus important de données vidéo dont l’exploitation interroge.Yoann Nabat, Doctorant en droit privé et sciences criminelles, Université de BordeauxLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1710142021-11-10T12:34:03Z2021-11-10T12:34:03ZSouveraineté et numérique : maîtriser notre destin<p>Facebook se dote d’un <a href="https://www.lemonde.fr/pixels/article/2021/10/21/le-conseil-de-surveillance-de-facebook-critique-les-regles-du-reseau-social-concernant-la-moderation-des-contenus-de-celebrites_6099423_4408996.html">conseil de surveillance</a>, sorte de « cour suprême » statuant sur les litiges relatifs à la modération des contenus. Des géants du numérique comme Google investissent le <a href="https://theconversation.com/sans-les-cables-sous-marins-plus-dinternet-leurope-est-elle-prete-169858">marché des câbles sous-marins de télécommunications</a>. La France a dû faire <a href="https://www.usine-digitale.fr/article/d-ici-deux-ans-microsoft-ne-sera-plus-l-hebergeur-du-health-data-hub.N1031429">machine arrière</a> après avoir confié à Microsoft l’hébergement du Health Data Hub.</p>
<p>Ces quelques exemples montrent que la manière dont le numérique se développe ne porte pas seulement atteinte à l’indépendance économique et l’identité culturelle de l’Union européenne et de la France. C’est la souveraineté qui est en cause, menacée par le numérique, mais y trouvant aussi une forme d’expression.</p>
<p>Le fait le plus marquant réside dans l’appropriation par les grandes plates-formes numériques non européennes des attributs de la souveraineté : un territoire transnational qui est celui de leur marché et du lieu d’édiction de normes, une population d’internautes, une langue, des monnaies virtuelles, une fiscalité optimisée, un pouvoir d’édiction de normes et de régulation. La composante propre au contexte numérique réside dans la <a href="https://www.larcier.com/fr/droits-et-souverainete-numerique-en-europe-2016-9782802753469.html">production et l’utilisation de données et dans la maîtrise de l’accès à l’information</a>. Il y a donc une forme de concurrence avec les États ou l’Union européenne.</p>
<h2>C’est la souveraineté sous toutes ses formes qui est interrogée</h2>
<p>La notion de souveraineté numérique <a href="https://pierrebellanger.com/publications/">a mûri</a> depuis qu’elle a été formalisée il y a une dizaine d’années sous la forme d’un objectif de « maîtrise de notre destin sur les réseaux ». Le contexte actuel est différent de celui qui l’a vue naître. Désormais, c’est la souveraineté en général qui connaît un regain d’intérêt, voire le souverainisme (qui fait de la protection de la souveraineté étatique une priorité).</p>
<p>La <a href="https://legrandcontinent.eu/fr/2021/07/01/le-peuple-souverain-et-lespace-numerique/">politisation du sujet</a> n’a jamais été aussi grande et le débat public s’organise autour de thèmes comme la souveraineté étatique face à l’Union européenne et son droit, l’indépendance économique, ou encore l’autonomie stratégique face au monde, la citoyenneté et la démocratie.</p>
<p>Dans les faits, la souveraineté numérique se construit sur la base de la régulation du numérique, de la maîtrise de ses éléments matériels et de la composition d’un espace démocratique. Il est nécessaire d’agir, sous peine de voir la souveraineté numérique être l’otage de débats trop théoriques. Nombreuses sont donc les initiatives qui se réclament directement de la souveraineté.</p>
<h2>La régulation au service de la souveraineté numérique</h2>
<p>Le cadre juridique du numérique est fondé sur des valeurs qui façonnent une voie européenne, notamment la protection des données personnelles et de la vie privée, la promotion de l’intérêt général, par exemple dans la gouvernance des données.</p>
<p>Le texte emblématique de l’approche européenne est le règlement sur la protection des données personnelles (RGPD) adopté en 2016, qui vise la maîtrise de ses données par le citoyen, maîtrise qui s’apparente à une forme de souveraineté individuelle. Ce règlement est souvent <a href="https://ec.europa.eu/commission/presscorner/detail/fr/fs_20_1172">présenté</a> comme un succès et un modèle, même si cela doit être relativisé.</p>
<h2>La nouvelle régulation européenne du numérique pour 2022</h2>
<p>L’actualité est marquée par la préparation d’une nouvelle régulation du numérique avec deux règlements qui devront être adoptés en 2022.</p>
<p>Il s’agit de <a href="https://www.mollat.com/livres/2549971/julien-nocetti-questions-internationales-n-109-les-gafam-une-histoire-americaine#">réguler les plates-formes</a> qui mettent en relation offreurs et utilisateurs ou proposent des services de classement ou référencement de contenus, de biens ou de services proposés ou mis en ligne par des tiers : Google, Meta (Facebook), Apple, Amazon, et bien d’autres encore.</p>
<p>L’enjeu de souveraineté est présent dans cette réforme comme le montre le <a href="https://www.contexte.com/article/numerique/andreas-schwab-le-digital-markets-act-doit-se-focaliser-sur-les-gafa_132213.html">débat sur la nécessité de se focaliser sur les GAFAM</a>.</p>
<p>D’un côté, le <em>Digital Markets Act</em> (le futur règlement européen sur les marchés numériques) prévoit des obligations renforcées pour les plates-formes dites <a href="https://www.contexte.com/numerique/les-digital-services-act-dsa-et-digital-markets-ac/">« contrôleurs d’accès »</a> dont dépendent utilisateurs intermédiaires et finaux. Les GAFAM sont concernés même si d’autres entreprises pourraient être l’être – comme Booking ou Airbnb. Tout dépend de l’issue des discussions en cours.</p>
<p>De l’autre, le <em>Digital Services Act</em> est un règlement sur les services numériques qui viendra <a href="https://www.contexte.com/numerique/les-digital-services-act-dsa-et-digital-markets-ac/">organiser la responsabilité des plates-formes</a>, notamment à raison des contenus illégaux qu’elles peuvent véhiculer.</p>
<h2>L’espace numérique, lieu de confrontations</h2>
<p>Se doter de règles de droit ne suffit pas.</p>
<blockquote>
<p>« Les États-Unis ont les GAFA (Google, Amazon, Facebook et Apple), la Chine a les BATX (Baidu, Alibaba, Tencent et Xiaomi). Et l’Europe ? Nous avons le RGPD. Il est temps de ne pas dépendre uniquement des solutions américaines ou chinoises ! » déclarait le Président Emmanuel Macron <a href="https://medium.com/atomico/french-president-emmanuel-macron-niklas-zennstr%C3%B6m-europes-technology-future-dec-2020-238d477c4a01">lors d’un entretien</a> le 8 décembre 2020.</p>
</blockquote>
<figure>
<iframe src="https://player.vimeo.com/video/488643621" width="500" height="281" frameborder="0" webkitallowfullscreen="" mozallowfullscreen="" allowfullscreen=""></iframe>
<figcaption><span class="caption">Entretien entre Emmanuel Macron et Niklas Zennström (CEO d’Atomico). Source : Atomico sur Medium.</span></figcaption>
</figure>
<p>L’espace international est un lieu de confrontation des souverainetés. Chacun veut légitimement maîtriser son destin numérique, mais il faut compter avec l’ambition des États qui revendiquent le droit de contrôler ou surveiller leur espace numérique conçu de manière large, à l’instar des États-Unis ou de la Chine.</p>
<p>L’Union européenne et/ou ses États membres, comme la France, sous peine d’être une « colonie numérique », passent donc à l’action et promeuvent des solutions souveraines.</p>
<h2>Maîtriser les infrastructures et ressources stratégiques</h2>
<p>À force de concentrer l’attention sur les services d’intermédiation, on ne met pas assez l’accent sur la dimension industrielle du sujet.</p>
<p>Or, le premier enjeu réside dans la <a href="http://www.senat.fr/rap/r19-007-1/r19-007-18.html">maîtrise des infrastructures vitales et des réseaux de télécommunications</a>. Moins médiatisée que celle des équipements de la 5G et de la résistance face à Huawei, la question des câbles sous-marins (98 % des données numériques mondiales y circulent) est révélatrice de la nécessité de promouvoir notre industrie câblière face à l’hégémonie d’entreprises étrangères et l’arrivée de géants tels que Google ou Facebook dans le secteur.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/si-la-russie-coupe-les-cables-sous-marins-leurope-peut-perdre-son-acces-a-internet-169858">Si la Russie coupe les câbles sous-marins, l’Europe peut perdre son accès à Internet</a>
</strong>
</em>
</p>
<hr>
<p>L’adjectif « souverain » est aussi accolé à d’autres ressources stratégiques. Ainsi, l’Union européenne veut sécuriser l’approvisionnement en semi-conducteurs, car actuellement la dépendance à l’égard de l’Asie est forte. C’est l’objet de l’<a href="https://www.usine-digitale.fr/article/souverainete-numerique-l-europe-veut-sa-legislation-sur-les-semi-conducteurs.N1140697"><em>European Chips Act</em></a> qui vise à créer un écosystème européen. <a href="https://www.usine-digitale.fr/article/souverainete-numerique-l-europe-veut-sa-legislation-sur-les-semi-conducteurs.N1140697">Pour Ursula Von Leyden</a>, « ce n’est pas seulement une question de compétitivité, mais aussi de souveraineté numérique ».</p>
<p>Se pose aussi la <a href="https://www.la-croix.com/Economie/largent-public-cloud-souverain-2021-11-02-1201183299">question du cloud « souverain »</a> qui peine à se mettre en place. Territorialisation du cloud, confiance, protection des données sont autant de conditions pour asseoir la souveraineté. La France a créé pour cela le <a href="https://www.ssi.gouv.fr/actualite/secnumcloud-evolue-et-passe-a-lheure-du-rgpd/">label SecNumCloud</a> et prévoit des financements substantiels.</p>
<p>L’adjectif « souverain » est aussi utilisé pour qualifier certaines données : celles pour la disponibilité desquelles aucun État ne doit dépendre de quiconque, comme les données géographiques. D’une manière générale, un consensus se crée autour de la nécessité de maîtriser les données et l’accès à l’information, en particulier dans les domaines où l’enjeu de souveraineté est le plus fort : la santé, l’agriculture, l’alimentation, l’<a href="https://cnnumerique.fr/files/uploads/2020/CNNum%20-%20Avis%20Donnees%20environnementales%20d%27interet%20general.pdf">environnement</a>. Le développement de l’intelligence artificielle est très lié au statut de ces données.</p>
<h2>Le temps des alternatives</h2>
<p>Est-ce que tout cela implique de favoriser l’émergence de grands acteurs européens ou nationaux et/ou d’acteurs stratégiques, start-up et PME-TPE ? Certainement, encore faut-il qu’ils soient vertueux, comparés à ceux qui exploitent les données personnelles sans vergogne par exemple.</p>
<p>L’alternative pure est <a href="https://www.usine-digitale.fr/article/le-cloud-souverain-n-est-il-qu-un-fantasme.N1151837">difficile à faire émerger</a>. C’est pourquoi des partenariats, au demeurant fort critiqués, se développent, par exemple pour des offres de cloud à l’instar de celui entre <a href="https://www.lefigaro.fr/secteur/high-tech/securite-informatique-thales-et-google-cloud-concluent-un-partenariat-20211006">Thales et OVHcloud en octobre 2021</a>.</p>
<p>En revanche, il est permis d’espérer. L’« open source » est un bon exemple d’une <a href="https://www.lemondeinformatique.fr/actualites/lire-plaidoyer-de-l-open-source-francais-sur-la-souverainete-et-le-business-83125.html">alternative crédible aux technologies privées américaines</a>. On en attend donc une meilleure promotion, notamment en France.</p>
<p>Enfin, la cybersécurité et la cyberdéfense sont des sujets cruciaux pour la souveraineté. La situation est critique avec des attaques notamment de la Russie et de la Chine. La cyber est un des grands chantiers dans lequel la France investit beaucoup actuellement et <a href="https://www.touteleurope.eu/l-ue-dans-le-monde/la-cybersecurite-cheval-de-bataille-de-la-france-et-de-l-union-europeenne/">se positionne comme champion</a>.</p>
<h2>La souveraineté du peuple</h2>
<p>Pour conclure, rappelons que les enjeux de souveraineté numérique se manifestent dans toutes les activités humaines. Une des grandes prises de conscience initiale, en 2005, concerne la culture avec le constat fait par Jean-Noël Jeanneney d’un <a href="https://www.lemonde.fr/archives/article/2005/01/22/quand-google-defie-l-europe-par-jean-noel-jeanneney_395266_1819218.html">Google qui défie l’Europe</a> en numérisant son patrimoine culturel lorsqu’il crée Google Books.</p>
<p>La période récente renoue avec cette vision et l’enjeu culturel et démocratique s’affirme comme essentiel, à l’heure de la désinformation en ligne et son cortège d’effets pervers, notamment sur les élections. Cela implique de placer le citoyen au cœur du dispositif et de démocratiser le monde numérique en affranchissant l’individu de la tutelle des géants du net dont l’emprise ne se limite pas à l’économie et au régalien. C’est sur le système cognitif, sur l’attention et la liberté <a href="https://www.editionsladecouverte.fr/l_economie_de_l_attention-9782707178701">que la toile des grandes plates-formes se tisse</a>. La souveraineté, celle du peuple, rimerait donc ici avec résistance.</p><img src="https://counter.theconversation.com/content/171014/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Annie Blandin-Obernesser a reçu des financements de projets de recherche de l'UE, de l'ANR, de la Région Bretagne, du pôle image et réseaux (FUI). </span></em></p>Comment se construit concrètement la souveraineté numérique, alors qu’elle semble menacée par les stratégies et ambitions d’entreprises étrangères et de certains États ?Annie Blandin-Obernesser, Professeur de droit, IMT Atlantique – Institut Mines-TélécomLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1671242021-09-02T17:55:39Z2021-09-02T17:55:39ZAfghanistan : quand la protection des données biométriques devient une question de vie ou de mort<p>Des <a href="https://www.reuters.com/article/afghanistan-tech-conflict/afghans-scramble-to-delete-digital-history-evade-biometrics-idUSL8N2PO1FH">rapports alarmants</a> indiquent que les talibans, qui viennent de reprendre le pouvoir à Kaboul, pourraient accéder aux données biométriques que l’US Army a récoltées en Afghanistan pendant des années. Les nouveaux maîtres du pays auraient alors la possibilité d’identifier et de traquer les Afghans ayant travaillé pour la coalition internationale.</p>
<p>Ces derniers craignent que les traces <a href="https://www.bbc.com/news/technology-58245121">physiques</a> et <a href="https://www.politico.com/news/2021/08/24/taliban-afghan-data-target-allies-506638">numériques</a> de leur identité, si elles se retrouvent entre les mains des talibans, se transforment en véritables <a href="https://www.wsj.com/articles/afghanistan-veterans-in-congress-trying-to-prevent-a-death-warrant-for-helping-america-11629299971">arrêts de mort</a>. C’est pourquoi ils cherchent désormais à <a href="https://www.theguardian.com/world/2021/aug/15/an-afghan-woman-in-kabul-now-i-have-to-burn-everything-i-achieved">dissimuler</a> ou à <a href="https://timesofindia.indiatimes.com/world/south-asia/i-am-burning-my-id-card-and-fleeing-my-house-the-future-of-afghans-in-jeopardy-as-taliban-regains-control/articleshow/85422687.cms">effacer</a> toutes ces données.</p>
<p>Ces <a href="https://theconversation.com/the-taliban-may-have-access-to-the-biometric-data-of-civilians-who-helped-the-u-s-military-166475">inquiétudes</a> montrent que, dans les zones de conflit, la protection des données – en particulier celles qui relient l’activité en ligne à la localisation physique de l’utilisateur – peut devenir une question de vie ou de mort.</p>
<p>Des <a href="https://anniejacobsen.com">journalistes</a>, des <a href="https://dx.doi.org/10.2139/ssrn.2134481">défenseurs de la vie privée</a> et des universitaires <a href="https://pennstatelaw.psu.edu/faculty/hu">dont moi-même</a> qui étudient la cybersurveillance biométrique alertent depuis longtemps sur ce type de risques.</p>
<h2>La biométrie, enjeu majeur des conflits contemporains</h2>
<p>La journaliste d’investigation Annie Jacobsen a documenté la naissance de la guerre biométrique en Afghanistan après les attaques terroristes du 11 septembre 2001, dans son livre <a href="https://www.penguinrandomhouse.com/books/624446/first-platoon-by-annie-jacobsen/"><em>First Platoon</em></a>. Le Pentagone a rapidement considéré que les données biométriques et l’<a href="https://www.rand.org/pubs/reprints/RP1194.html">« identity dominance »</a> devaient être les pierres angulaires de nombreuses stratégies de contre-terrorisme et de contre-insurrection. Ce concept d’« identity dominance » signifie, pour l’armée, être capable de garder la trace de personnes considérées comme une menace potentielle, quels que soient les pseudonymes qu’elles emploient, afin de priver les organisations hostiles de la possibilité de conduire leurs activités en préservant l’anonymat de leurs membres.</p>
<p>En 2004, des milliers de militaires américains ont été formés à la collecte d’informations biométriques dans le cadre des interventions en Afghanistan et en Irak. Trois ans plus tard, cette collecte était principalement effectuée via des dispositifs mobiles tels que le <a href="https://www.nist.gov/system/files/documents/2021/03/23/ansi-nist_archived_vermury-bat-hiide.pdf">Biometric Automated Toolset</a>, un kit qui comprend un ordinateur portable, un lecteur d’empreintes digitales, un scanner d’iris et un appareil photo ; et le <a href="https://www.nist.gov/system/files/documents/2021/03/23/ansi-nist_archived_vermury-bat-hiide.pdf">Handheld Interagency Identity Detection Equipment</a> (ou « HIIDE »), un petit appareil unique qui intègre un lecteur d’empreintes digitales, un scanner d’iris et un appareil photo. Les utilisateurs de ces outils peuvent recueillir des scans d’iris et d’empreintes digitales ainsi que des photos faciales, et les faire correspondre aux entrées des bases de données militaires et des listes de surveillance biométrique.</p>
<p>En plus de ce type de données, le système comprend des informations biographiques et contextuelles, ce qui permet de vérifier si un individu est signalé comme suspect d’activités criminelles ou terroristes. Les analystes peuvent également surveiller les mouvements et les activités des personnes enregistrées, en traçant les données biométriques enregistrées par les troupes sur le terrain.</p>
<p>En 2011, dix ans après le 11 septembre 2001, le ministère de la Défense <a href="https://www.gao.gov/assets/a317375.html">conservait environ 4,8 millions d’enregistrements biométriques</a> de personnes se trouvant en Afghanistan et en Irak, dont environ 630 000 avaient été collectés à l’aide de dispositifs HIIDE. L’armée américaine et ses partenaires militaires afghans utilisaient le <a href="https://info.publicintelligence.net/CALL-AfghanBiometrics.pdf">renseignement</a> et le <a href="https://dx.doi.org/10.2139/ssrn.2886575">cyberrenseignement</a> biométriques sur le champ de bataille pour identifier et suivre les insurgés.</p>
<p>En 2013, l’armée et le corps des Marines américains ont utilisé le <a href="https://www.marcorsyscom.marines.mil/News/News-Article-Display/Article/509568/new-biometrics-device-helps-marines-determine-friend-or-foe/"><em>Biometric Enrollment and Screening Device</em></a>, qui enregistrait les scans de l’iris, les empreintes digitales et les photos numériques du visage. Ce dispositif a été remplacé en 2017 par l’<a href="https://www.marines.mil/News/News-Display/Article/1394036/marine-corps-fields-game-changer-biometric-data-collection-system/utm_content/bufferec10a/utm_medium/social/utm_campaign/buffer/"><em>Identity Dominance System-Marine Corps</em></a>, qui utilise un ordinateur portable doté de capteurs de collecte de données biométriques, <a href="https://arstechnica.com/information-technology/2015/10/military-looks-to-upgrade-its-tactical-biometrics-with-identity-dominance-system-2/">connu sous le nom de <em>Secure Electronic Enrollment Kit</em></a>.</p>
<p>Au fil des années, pour soutenir ses objectifs militaires, le ministère de la Défense a cherché à créer une base de données biométriques portant sur <a href="https://www.npr.org/2021/01/14/956705029/first-platoon-examines-how-war-on-terror-birthed-pentagons-biometrics-id-system">80 % de la population afghane</a>, soit environ 32 millions de personnes. Il est difficile de savoir dans quelle mesure cet objectif a été atteint.</p>
<h2>Plus de données, c’est plus de personnes en danger</h2>
<p>Outre l’utilisation des données biométriques par les militaires américains et afghans à des fins sécuritaires, Le Pentagone et le gouvernement afghan ont fini par adopter les technologies biométriques pour toute une série d’usages quotidiens : <a href="https://www.fbi.gov/news/stories/mission-afghanistan-biometrics">procès</a>, <a href="https://www.afcea.org/content/us-defense-department-expands-biometrics-technologies-information-sharing">autorisations de travail</a> ou encore <a href="https://www.reuters.com/article/us-afghanistan-election-technology/biometric-machines-in-afghan-vote-improve-after-last-years-glitches-idUSKBN1WD0DM">sécurité des élections</a>.</p>
<p>En outre, le registre national des documents d’identité et les listes électorales contenaient des données sensibles, notamment <a href="https://www.politico.com/news/2021/08/24/taliban-afghan-data-target-allies-506638">ethniques</a>. La carte d’identité afghane, l’<a href="https://www.loc.gov/item/global-legal-monitor/2018-07-19/afghanistan-distribution-of-controversial-electronic-identity-cards-launched/">e-Tazkira</a>, est un <a href="https://www.justice.gov/sites/default/files/eoir/legacy/2014/04/03/afg104742.e.pdf">document d’identification électronique qui comprend des données biométriques</a>. L’accès des talibans à ces registres représente donc un risque majeur pour de nombreuses personnes.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/KnL7Gb2iOiE?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">« Afghanistan : un dispositif biométrique américain aux mains des talibans ? » • France 24, 28 août 2021.</span></figcaption>
</figure>
<p>Il est trop tôt pour savoir si les talibans pourront avoir accès aux données biométriques autrefois détenues par l’armée américaine et, si oui, dans quelle mesure. Il est possible qu’ils ne disposent <a href="https://theintercept.com/2021/08/17/afghanistan-taliban-military-biometrics/">pas des capacités techniques</a> qui leur permettraient d’accéder aux données biométriques collectées par HIIDE. Cependant, ils pourraient pour cela se tourner vers leur allié de longue date, l’<em>Inter-Services Intelligence</em>, l’agence de renseignement pakistanaise. Comme de nombreux services de renseignement nationaux, l’ISI dispose probablement de la technologie nécessaire.</p>
<p>Selon certaines sources, les talibans <a href="https://www.reuters.com/article/afghanistan-tech-conflict/afghans-scramble-to-delete-digital-history-evade-biometrics-idUSL8N2PO1FH">auraient déjà commencé à déployer une « machine biométrique »</a> afin d’identifier les anciens responsables et membres des forces de sécurité du gouvernement afghan. Ces informations concordent avec d’autres, plus anciennes, indiquant que les talibans auraient soumis des <a href="https://pajhwok.com/2017/02/14/taliban-subject-passengers-biometric-screening/">passagers de bus</a> à des contrôles biométriques et, plus généralement, qu’ils auraient utilisé les données biométriques pour <a href="https://tolonews.com/afghanistan/taliban-used-biometric-system-during-kunduz-kidnapping">identifier</a> les membres des forces de sécurité afghanes afin de les enlever ou de les assassiner.</p>
<h2>La collecte de données biométriques est préoccupante</h2>
<p>Après le 11 septembre 2001, des chercheurs, des militants et des responsables politiques se sont inquiétés de la collecte, du stockage et de l’analyse en masse de données biométriques sensibles, considérant que cela met en danger le <a href="https://ssrn.com/abstract=2041946">droit à la vie privée</a> et les <a href="https://www.humanrightsfirst.org/resource/steps-protect-your-online-identity-taliban-digital-history-and-evading-biometrics-abuses">droits de l’homme</a>. Le fait que les talibans ont peut-être pu accéder aux données biométriques américaines stockées par l’armée montre que ces inquiétudes n’étaient pas infondées.</p>
<p>Ces récents développements constituent un avertissement pour l’avenir. Lors de l’élaboration de technologies et de protocoles de guerre biométriques, il semble que le <a href="https://nsarchive.gwu.edu/document/24571-department-defense-directive-8521-01e-department-defense-biometrics-january-13-2016">ministère américain de la Défense</a> ait supposé que le gouvernement afghan disposerait d’un niveau de stabilité indispensable à la protection des données sensibles.</p>
<p>L’armée américaine devrait partir du principe que toute <a href="https://www.politico.com/news/2021/08/24/taliban-afghan-data-target-allies-506638">donnée sensible</a> – données biométriques et biographiques, données d’écoute et communications, données de géolocalisation, dossiers gouvernementaux – peut potentiellement tomber entre les mains de l’ennemi. Il faudrait donc mettre en place un système de sécurité robuste pour empêcher les accès indésirables. Au-delà, il convient aussi de se demander si la <a href="https://privacyinternational.org/sites/default/files/2021-06/Biometrics %20for %20Counter-Terrorism- %20Case %20study %20of %20the %20U.S. %20military %20in %20Iraq %20and %20Afghanistan %20- %20Nina %20Toft %20Djanegara %20- %20v6.pdf">collecte de toutes ces données biométriques</a> était réellement indispensable.</p><img src="https://counter.theconversation.com/content/167124/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Margaret Hu est affiliée au Future of Privacy Forum, un think tank à but non lucratif qui fournit des orientations politiques sur la confidentialité des données. Certains des assistants de recherche de Mme Hu reçoivent des fonds de Microsoft Research. Elle a reçu des honoraires pour avoir pris la parole lors d'un événement organisé par Microsoft Research.
</span></em></p>Les données biométriques que l’US Army a récoltées sur la population afghane, et notamment sur les personnes ayant travaillé pour la coalition, pourraient désormais être exploitées par les talibans.Margaret Hu, Professor of Law and of International Affairs, Penn StateLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1630402021-06-27T17:01:44Z2021-06-27T17:01:44ZEn France, des services de renseignement sans vrais contre-pouvoirs<p>Huit ans après les <a href="https://www.lemonde.fr/pixels/article/2019/09/13/ce-que-les-revelations-snowden-ont-change-depuis-2013_5509864_4408996.html">révélations</a> du lanceur d’alerte Edward Snowden, l’Assemblée nationale vient d’adopter, dans une certaine indifférence, le <a href="https://www.assemblee-nationale.fr/dyn/15/dossiers/alt/prevention-actes-terrorisme-et-renseignement">projet de loi</a> relatif à la prévention d’actes de terrorisme et au renseignement. Le texte est désormais en cours d’examen au Sénat.</p>
<p>Il s’agit de la première révision d’ampleur de la loi renseignement adoptée en 2015. À l’époque, le <a href="https://www.gouvernement.fr/conseil-des-ministres/2015-03-19/renseignement">gouvernement de Manuel Valls</a> avait défendu ce texte en expliquant que la France était « l’une des dernières démocraties occidentales à ne pas disposer d’un cadre légal, cohérent et complet pour les activités de renseignement ».</p>
<p>Le rapporteur de la loi à l’Assemblée nationale, <a href="https://www.assemblee-nationale.fr/14/cri/2014-2015/20150267.asp#P558980">Jean‑Jacques Urvoas</a>, soulignait à l’envi combien elle constituait « un progrès de l’État de droit ». L’affaire était entendue : les services secrets voyaient leurs missions et leurs méthodes consacrées dans la loi ; le renseignement sortait autant que possible de l’exceptionnalité qui le caractérisait pour rentrer dans le rang des politiques publiques normales.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"587880717964673024"}"></div></p>
<p>Cette manière de présenter les choses avait le mérite de reconnaître les lacunes historiques de la France en matière de contrôle des services de renseignement. Elle tendait cependant à faire oublier un important corollaire : le fait que la loi votée légalisait a posteriori des mesures de surveillance employées depuis des années en toute illégalité, ce qui aurait dû valoir aux responsables politiques et administratifs ayant autorisé ces programmes des <a href="https://www.cnil.fr/fr/les-sanctions-penales">poursuites pénales</a>.</p>
<p>Le projet de loi débattu en ce moment même au Sénat est certes bien moins ambitieux que son prédécesseur de 2015. Il relève cependant d’une même logique, bien analysée par les sociologues <a href="https://www.cairn.info/revue-cultures-et-conflits-2019-2-page-7.htm">Laurent Bonelli, Hervé Rayner et Bernard Voutat</a>, laquelle consiste à recourir au droit pour légitimer l’action des services et préserver leurs marges de manœuvre.</p>
<p>Cette nouvelle loi cherche en effet à sécuriser sur le plan juridique des capacités de surveillance toujours plus étendues – telles les « boîtes noires » scannant le trafic Internet pour détecter des URL « suspectes » (article 13), le partage de données entre services français (article 7), ou l’obligation pour les opérateurs et gestionnaires de serveurs de collaborer avec les autorités pour « pirater » les messageries chiffrées (article 10), etc. –, tout en abritant les services de renseignement de tout réel contre-pouvoir.</p>
<p>Renforcer le contrôle du renseignement devrait pourtant constituer une priorité compte tenu de sa place croissante au sein de l’État. Depuis 2015, les services de renseignement ont vu leurs effectifs augmenter de 30 %, notamment pour développer leurs capacités technologiques. Dans ce contexte, le recours aux différentes techniques de surveillance connaît lui aussi une forte croissance et porte sur des domaines toujours plus sensibles pour les libertés publiques. Ainsi, l’activité consacrée à la surveillance des mouvements sociaux – <a href="https://data.guardint.org/en/entity/5queprq99xg?page=5">érigée en priorité</a> depuis 2019 à la suite du mouvement des « gilets jaunes » – a plus que doublée en trois ans, passant de 6 % du total des mesures de surveillance en 2017 à plus de 14 % en 2020.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/407258/original/file-20210618-20-1ikfdd9.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/407258/original/file-20210618-20-1ikfdd9.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/407258/original/file-20210618-20-1ikfdd9.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=869&fit=crop&dpr=1 600w, https://images.theconversation.com/files/407258/original/file-20210618-20-1ikfdd9.jpeg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=869&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/407258/original/file-20210618-20-1ikfdd9.jpeg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=869&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/407258/original/file-20210618-20-1ikfdd9.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=1091&fit=crop&dpr=1 754w, https://images.theconversation.com/files/407258/original/file-20210618-20-1ikfdd9.jpeg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=1091&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/407258/original/file-20210618-20-1ikfdd9.jpeg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=1091&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Les activités de surveillances des mouvements sociaux et de protection des institutions (en gris) représentaient 6 % des demandes d’actes de renseignement en 2017….</span>
<span class="attribution"><span class="source">CNCTR</span></span>
</figcaption>
</figure>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/407259/original/file-20210618-15-8yqtfr.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/407259/original/file-20210618-15-8yqtfr.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/407259/original/file-20210618-15-8yqtfr.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=759&fit=crop&dpr=1 600w, https://images.theconversation.com/files/407259/original/file-20210618-15-8yqtfr.jpeg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=759&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/407259/original/file-20210618-15-8yqtfr.jpeg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=759&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/407259/original/file-20210618-15-8yqtfr.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=954&fit=crop&dpr=1 754w, https://images.theconversation.com/files/407259/original/file-20210618-15-8yqtfr.jpeg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=954&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/407259/original/file-20210618-15-8yqtfr.jpeg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=954&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">… contre plus de 14 % (en rose) en 2020.</span>
<span class="attribution"><span class="source">CNCTR</span></span>
</figcaption>
</figure>
<p>En dépit de cette montée en puissance, la quasi-totalité des propositions visant à renforcer les dispositifs de contrôle sont restées lettres mortes, qu’elles émanent de la Délégation parlementaire au renseignement (la DPR, composée de députés et de sénateurs), de la Commission nationale de l’informatique et des libertés (CNIL, censée contrôler les fichiers dits « régaliens »), ou encore de la Commission nationale de contrôle des techniques de renseignement (la CNCTR, qui rend des avis sur les mesures de surveillance sollicitées par les services).</p>
<h2>Des échanges de données hors de tout contrôle</h2>
<p>Depuis plusieurs années, la CNCTR demande par exemple de pouvoir contrôler le partage de données entre services de renseignement français et services étrangers. En France, la question est d’autant plus pressante que les flux de données échangés entre la Direction générale de la sécurité extérieure (DGSE) et la National Security Agency (NSA) ont connu une augmentation rapide suite à la conclusion des <a href="https://www.intelligenceonline.fr/renseignement-d-etat/2017/12/13/paris-se-prepare-a-devenir-le-sixieme-oeil-des-five-eyes,108285742-art">accords SPINS</a>, signés fin 2015 entre la France et les États-Unis pour renforcer la coopération des deux pays en matière de renseignement.</p>
<p>Or, la loi de 2015 proposée par le gouvernement Valls <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000030935098">excluait explicitement</a> tout contrôle de la CNCTR sur ces collaborations internationales, nourries par des réseaux de professionnels du renseignement jouissant d’une forte autonomie, et que le chercheur Didier Bigo a proposé d’appréhender à travers la notion de <a href="https://journals.openedition.org/conflits/19739#tocto1n3">« guilde transnationale »</a>.</p>
<p>Dans son <a href="https://data.guardint.org/en/entity/z3bpmm5gqak?searchTerm=partage&page=50">rapport annuel</a> publié en 2019, la CNCTR admettait que ce véritable trou noir dans le contrôle du renseignement présentait un risque majeur, puisqu’il pourrait permettre aux services français de recevoir de leurs homologues des données qu’ils n’auraient pas pu se procurer légalement au travers des procédures définies dans la loi française. Dans le langage feutré qui la caractérise, la commission estimait qu’« une réflexion devait être menée sur l’encadrement légal des échanges de données entre les services de renseignement français et leurs partenaires étrangers ».</p>
<p>Pour appuyer sa demande, la CNCTR évoquait la jurisprudence de la Cour européenne des droits de l’Homme (CEDH). Celle-ci a encore rappelé dans son arrêt <a href="https://hudoc.echr.coe.int/eng#%7B%22itemid%22:%5B%22001-210077%22%5D%7D"><em>Big Brother Watch c. Royaume-Uni</em></a> du 25 mai 2021 que ces échanges devaient être encadrés par le droit national et soumis au contrôle d’une autorité indépendante (§ 362). Or, à ce jour, la France est le <a href="https://data.guardint.org/en/entity/0t6462gq7i1d?page=52">dernier État membre</a> de l’Union européenne à ne disposer d’aucun cadre juridique pour encadrer ces échanges internationaux. Ni le gouvernement ni les députés n’ont apparemment trouvé opportun d’y remédier.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/gCWkTuwQdbw?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<h2>La jurisprudence ignorée</h2>
<p>Un autre principe essentiel dégagé par la jurisprudence européenne est le droit à l’information des personnes ayant fait l’objet d’une mesure de surveillance, dès lors qu’une telle information n’est plus susceptible d’entraver l’enquête menée à leur encontre par les services.</p>
<p>Dans un rapport publié en janvier 2018, la <a href="https://data.guardint.org/en/entity/4t3do6cq9ht?page=75">CNCTR passait en revue</a> la jurisprudence afférente et mentionnait plusieurs exemples de législations étrangères – la loi allemande notamment – garantissant une procédure de notification des personnes surveillées et prévoyant un certain nombre d’exceptions étroitement limitées. Elle était forcée de constater que, en <a href="https://data.guardint.org/en/entity/4t3do6cq9ht?searchTerm=notification&page=85">l’état du droit français</a>, « les personnes surveillées ne peuvent être informées des techniques de renseignement mises en œuvre à leur encontre ». Le projet de loi élude complètement cet enjeu.</p>
<p>Le gouvernement a également choisi d’ignorer une autre exigence, encore rappelée par le Conseil d’État dans son <a href="https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2021-04-21/393099">arrêt du 21 avril 2021</a> relatif à la conservation généralisée des données de connexion. Dans cette décision qui donnait largement <a href="http://www.revuedlf.com/droit-ue/le-conseil-detat-gardien-de-la-securite/">gain de cause</a> au gouvernement, le Conseil d’État se fondait sur un <a href="https://curia.europa.eu/juris/liste.jsf?num=C-511/18&language=fr">arrêt de la Cour de justice de l’Union européenne</a> du 6 octobre 2020 pour exiger que les avis rendus par la CNCTR sur les mesures de surveillance soient « conformes » (c’est-à-dire impératifs pour le gouvernement) et non plus simplement consultatifs. <a href="https://data.guardint.org/en/entity/e92i7x0chnk?page=6">La CNIL</a> l’a à son tour rappelé début mai dans son avis rendu sur le projet de loi. Nouvelle fin de non-recevoir du gouvernement.</p>
<p>Quant à la <a href="https://data.guardint.org/en/entity/5fhfis4apmg?searchTerm=opportun&page=100">volonté conjointe</a> de la DPR et de la CNCTR de garantir à cette dernière un droit de regard sur les fichiers du renseignement, elle se heurte à l’opposition farouche des services. Comme l’ont souligné les <a href="https://data.guardint.org/en/entity/5fhfis4apmg?page=100">parlementaires</a> de la DPR, il s’agit pourtant d’une étape cruciale du contrôle, seule capable de permettre à la CNCTR de « s’assurer qu’aucune donnée n’a été recueillie, transcrite ou extraite en méconnaissance du cadre légal, voire en l’absence d’une autorisation accordée par le Premier ministre ».</p>
<p>On sera par ailleurs bien en peine de trouver, dans le cadre juridique français, des dispositions encadrant d’autres activités typiques du renseignement et extrêmement sensibles du point de vue des libertés publiques. C’est le cas de la surveillance des lettres et des colis postaux, ou encore de l’infiltration de certains groupes par des agents du renseignement. Au Royaume-Uni, l’<a href="https://data.guardint.org/en/entity/ngq0it4qb2k">Investigatory Powers Act</a> de 2016 couvre pourtant ces deux domaines.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/407261/original/file-20210618-14425-z825n6.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/407261/original/file-20210618-14425-z825n6.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/407261/original/file-20210618-14425-z825n6.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=895&fit=crop&dpr=1 600w, https://images.theconversation.com/files/407261/original/file-20210618-14425-z825n6.jpeg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=895&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/407261/original/file-20210618-14425-z825n6.jpeg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=895&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/407261/original/file-20210618-14425-z825n6.jpeg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=1125&fit=crop&dpr=1 754w, https://images.theconversation.com/files/407261/original/file-20210618-14425-z825n6.jpeg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=1125&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/407261/original/file-20210618-14425-z825n6.jpeg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=1125&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">De 2016 à 2020, les demandes d’actes hautement sensibles pour les libertés individuelles, comme la géolocalisation en temps réel (+246 %) ou l’accès aux données de connexion en temps réel (+346,7 %) ont explosé.</span>
<span class="attribution"><span class="source">CNCTR</span></span>
</figcaption>
</figure>
<p>Le loi française ne fait également aucune mention de la surveillance dite « en source ouverte », notamment sur les réseaux sociaux comme Facebook ou Twitter – une activité sur laquelle peu de choses ont <a href="https://www.marianne.net/societe/terrorisme/le-programme-x-un-logiciel-espion-surpuissant-pour-traquer-les-terroristes">fuité dans la presse</a> mais dont on sait qu’elle a pris une importance croissante ces dix dernières années.</p>
<h2>L’impossible transparence ?</h2>
<p>Enfin, le texte aujourd’hui débattu au Parlement ne s’accompagne d’aucun progrès en matière de transparence des activités de renseignement. Pourtant, l’étendue du secret obère gravement la capacité des journalistes, des ONG, des chercheurs mais aussi d’autres acteurs institutionnels, comme les juges, à jouer leur rôle de contre-pouvoirs.</p>
<p>En dehors des quelques informations ayant filtré grâce au <a href="https://www.cairn.info/revue-cultures-et-conflits-2019-2-page-227.htm">petit cercle de journalistes</a> spécialisés disposant d’un accès à des sources au sein des services, et outre les rares allusions faites par les responsables du renseignement lors d’auditions parlementaires ou par la CNCTR, aucune information officielle n’est fournie sur la nature exacte des technologies utilisées par les services. Leur imbrication dans les processus de production du renseignement, la nature des marchés publics et l’identité des sous-traitants privés, et même les interprétations juridiques ayant cours au sein des services, restent également marqués par une grande opacité.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1131575518862675969"}"></div></p>
<p>Là encore, la comparaison avec les principales puissances européennes du renseignement révèle en miroir le retard français. Il suffit pour s’en convaincre de consulter le <a href="https://data.guardint.org/en/entity/b7xs6zda98s">rapport</a> publié en août 2016 par David Anderson en marge du débat parlementaire sur l’Investigatory Powers Act en Grande-Bretagne. Ce juriste en charge du contrôle indépendant des législations antiterroristes y faisait état des capacités technologiques en matière de collecte et d’exploitation « massive » de données (« bulk powers »). Il donnait aussi plusieurs exemples de cas dans lesquels ces technologies étaient employées et évaluait leur intérêt opérationnel à partir de documents internes et d’entretiens avec certains hauts responsables.</p>
<p>En France, un tel degré de transparence semble pour l’heure inimaginable. Même si la CNCTR a fait quelques progrès dans la précision des informations fournies dans ses rapports, elle se contente pour l’essentiel de décrire l’état du droit et son évolution, ou de diffuser des statistiques générales sur les types de mesures autorisées et leurs finalités. On est encore loin du niveau de détail venant nourrir le débat public et alimenter les travaux des parlementaires, des journalistes ou des ONG dans des pays comme le Royaume-Uni ou l’Allemagne.</p>
<p>Faute pour le Sénat d’amender le projet de loi sur ces différents points, cette réforme constituera une nouvelle occasion manquée dans la tentative de réconcilier le renseignement français avec les normes internationales et les bonnes pratiques observées à l’étranger.</p><img src="https://counter.theconversation.com/content/163040/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Félix Tréguer participe au projet de recherche GUARDINT (<a href="http://www.guardint.org">www.guardint.org</a>), qui porte sur le contrôle des services de renseignement et de leurs activités de surveillance. Il est également membre bénévole de La Quadrature du Net, une association de défense des droits impliquée dans des recours contentieux contre les pratiques de surveillance des services de renseignement français.
</span></em></p>Une nouvelle loi sur le renseignement est actuellement débattue au Parlement. À la clef, bien peu d’encadrement et une légitimation a posteriori de pratiques illégales.Félix Tréguer, Post-doctorant au CERI, Sciences Po Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1567932021-03-11T17:52:02Z2021-03-11T17:52:02ZDonnées personnelles : les Français parmi les moins préoccupés de leur utilisation<figure><img src="https://images.theconversation.com/files/388544/original/file-20210309-21-1kworsx.jpg?ixlib=rb-1.1.0&rect=0%2C0%2C5458%2C3355&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Les applications de traçage des déplacements des citoyens pour lutter contre l’épidémie de Covid-19 ont relancé le débat sur la sécurité des données.
</span> <span class="attribution"><a class="source" href="https://www.shutterstock.com/image-illustration/user-data-privacy-abstract-personal-private-1062285074">Shutterstock</a></span></figcaption></figure><p>Depuis plusieurs années, des entreprises de tous les secteurs pratiquent la collecte de nombreux types de données sur ses clients. Nous en sommes conscients, à l’ère du numérique et du big data : nos habitudes et nos comportements sont de plus en plus enregistrés, souvent par des systèmes automatiques que l’on n’aperçoit pas forcement.</p>
<p>La décision de fournir volontairement nos données personnelles, souvent sensibles, à des sujets tiers ouvre à des questionnements légitimes sur le stockage et l’utilisation que les entreprises en feront ensuite. On observe d’ailleurs des préoccupations grandissantes sur ces questions.</p>
<p>Dans la dernière <a href="https://www.ipsos.com/en/2019-cigi-ipsos-global-survey-internet-security-and-trust">étude</a> de l’entreprise de sondage française Ipsos sur le sujet, plus d’un répondant sur deux déclarait se soucier davantage de ses données personnelles qu’un an plus tôt. Les affaires de fuite de données, à l’image du scandale <a href="https://www.lemonde.fr/pixels/article/2018/04/04/cambridge-analytica-87-millions-de-comptes-facebook-concernes_5280752_4408996.html">Cambridge Analytica</a> de 2018 qui concernait 87 millions de comptes Facebook, ont sans doute pu contribuer à cette prise de conscience.</p>
<p>Plus récemment, la question de la sécurité des données est revenue dans le débat lorsque les gouvernements ont mis en place des applications de traçage des déplacements des citoyens pour lutter contre l’épidémie de Covid-19. Le <a href="https://www.latribune.fr/technos-medias/comment-le-gouvernement-manipule-les-chiffres-de-tous-anti-covid-863808.html">faible taux d’adhésion</a> à cette initiative dans la plupart des pays, comme celle pour l’application TousAntiCovid (anciennement StopCovid), a encore montré l’évidente préoccupation des individus par rapport à leurs données.</p>
<h2>Disparités mondiales</h2>
<p>Pourtant, ces préoccupations ne sont pas toutes au même niveau dans le monde. C’est ce que nous avons pu observer à l’occasion d’une <a href="https://www.sciencedirect.com/science/article/abs/pii/S0022435920300440">étude</a> menée auprès de 22 050 consommateurs dans 14 pays.</p>
<p>Nos résultats montrent que les préoccupations des clients concernant leurs données personnelles sont liées à 4 dimensions :</p>
<ul>
<li><p>La collecte des données de la part des entreprises, en termes de facilité de la collecte et de quantité de données collectées.</p></li>
<li><p>L’accès à leurs données de la part de tiers externes à l’entreprise avec laquelle ils partagent leurs données.</p></li>
<li><p>La précision des données en possession des entreprises, suite par exemple au manque de mise à jour ou à des erreurs dans les bases de données.</p></li>
<li><p>L’utilisation des données de la part des entreprises une fois qu’elles ont été partagées, ex. suggestions non désirées, spamming des boites mail, etc.</p></li>
</ul>
<p>Le graphique 1 montre les différences entre les pays sur ces 4 dimensions de préoccupation des clients. Les pays avec le niveau de préoccupation plus bas sur les 4 dimensions sont l’Italie, l’Espagne, le Japon et la France tandis que le Royaume-Uni, le Mexique, l’Australie, le Canada, les États-Unis et l’Afrique du Sud sont les pays avec un niveau de préoccupation plus élevé.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/388540/original/file-20210309-21-1prrouu.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/388540/original/file-20210309-21-1prrouu.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/388540/original/file-20210309-21-1prrouu.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=341&fit=crop&dpr=1 600w, https://images.theconversation.com/files/388540/original/file-20210309-21-1prrouu.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=341&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/388540/original/file-20210309-21-1prrouu.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=341&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/388540/original/file-20210309-21-1prrouu.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=428&fit=crop&dpr=1 754w, https://images.theconversation.com/files/388540/original/file-20210309-21-1prrouu.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=428&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/388540/original/file-20210309-21-1prrouu.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=428&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Graphique 1 : Niveau de préoccupation de plusieurs pays face aux 4 dimensions de la collecte de données.</span>
<span class="attribution"><span class="source">Auteur (D.R)</span></span>
</figcaption>
</figure>
<p>Les résultats concernant les pays européens, dont la France où la population se montre moins préoccupée que les autres, apparaissent cohérents avec l’introduction, mi-2018, du règlement général sur la protection des données (<a href="https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr_fr">RGPD</a>). Ce nouveau cadre législatif, particulièrement précis et strict par rapport à ceux d’autres pays, a imposé aux entreprises d’être plus transparentes sur la collecte des données personnelles et sur leur utilisation, ce qui peut expliquer le moindre niveau des préoccupations dans ces pays.</p>
<h2>Le « paradoxe » de la vie privée</h2>
<p>Après avoir analysé les préoccupations des clients, nous pouvons nous focaliser sur leur volonté à fournir des informations personnelles avec les entreprises. Nos résultats démontrent que l’avis des clients sur ce sujet n’est pas le même pour tous les types de données qu’ils peuvent être amenés à partager avec une entreprise.</p>
<p>On peut classifier les données personnelles en deux grandes catégories :</p>
<ul>
<li><p>Des <strong>données non sensibles</strong>, c’est-à-dire auxquelles les clients n’accordent pas beaucoup d’importance. Les entreprises ont en effet généralement la possibilité de les collecter en forme anonyme même si le client fait le choix de ne pas les partager. Par exemple ses caractéristiques démographiques (sexe, âge, etc.), ses hobbies, ses habitudes d’achat, ses préférences sur les produits, les marques et les médias de communication, etc.</p></li>
<li><p>Des <strong>données sensibles</strong>, c’est-à-dire des informations privées auxquelles les clients accordent plus d’importance, par exemple, son adresse, son téléphone, ses données financières (revenus, numéro de carte de crédit, etc.), son état de santé, etc.</p></li>
</ul>
<p>Le graphique 2 montre les différences dans la volonté des clients à partager ces deux typologies d’information entre les pays. Il est intéressant de noter que les Français qui, comme nous l’avons vu, se distinguent par un niveau de préoccupation général moins élevé, se montrent parmi les plus réticents à livrer leurs données sensibles.</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/388541/original/file-20210309-23-1ozy7gt.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/388541/original/file-20210309-23-1ozy7gt.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/388541/original/file-20210309-23-1ozy7gt.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=186&fit=crop&dpr=1 600w, https://images.theconversation.com/files/388541/original/file-20210309-23-1ozy7gt.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=186&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/388541/original/file-20210309-23-1ozy7gt.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=186&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/388541/original/file-20210309-23-1ozy7gt.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=233&fit=crop&dpr=1 754w, https://images.theconversation.com/files/388541/original/file-20210309-23-1ozy7gt.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=233&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/388541/original/file-20210309-23-1ozy7gt.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=233&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Graphique 2 : Disponibilité des individus à partager des données non sensibles (gauche) et des données sensibles (droite) avec les entreprises.</span>
<span class="attribution"><span class="source">Auteur (D.R)</span></span>
</figcaption>
</figure>
<p>A contrario, les pays avec un niveau de préoccupation général plus élevé, comme l’Afrique du Sud, se retrouvent parmi les plus enclins à partager leurs données sensibles. Ces comportements s’apparentent à un phénomène du <a href="https://theconversation.com/facebook-et-le-paradoxe-de-la-vie-privee-94684">« paradoxe de la vie privée »</a>, que souligne la contradiction entre l’attachement à la protection de ses données personnelles et un comportement de partage volontaire d’informations privées avec des sujets tiers.</p>
<p>En tenant compte de ce paradoxe, on pourrait donc qualifier les Français de clients « prudents » : même s’ils déclarent ne pas se soucier beaucoup de leurs données, cela ne veut pas dire qu’ils ne s’interrogent pas sur le devenir de ces dernières, notamment les plus sensibles, lorsqu’une entreprise les leur demande.</p>
<p>Les entreprises ont tout intérêt à intégrer ces différentes sensibilités dans leur activité, notamment en travaillant sur la confiance qu’elle génère auprès de ses clients. En effet, comme l’explication de la mise en place du RGPD le suggère, un cadre jugé sûr permet de faire baisser le niveau de préoccupation.</p>
<p>Les résultats de notre étude viennent ainsi confirmer l’importance de cette confiance du client et précisent qu’elle intervient à trois niveaux : dans la culture du pays (qui intègre la dimension institutionnelle et juridique), au sein de l’entreprise en question, ainsi qu’au niveau du personnel de l’entreprise.</p><img src="https://counter.theconversation.com/content/156793/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Monica Grosso ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Une étude mondiale montre que la France fait partie des pays où les usagers ont le moins de réticences à partager une partie de leur vie privée avec des entreprises tierces.Monica Grosso, Professeur de Marketing, EM Lyon Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1466822020-10-06T19:01:40Z2020-10-06T19:01:40ZL’Allemagne et la France face aux applications de traçage : conversation avec Frantz Rowe<p>Nous nous intéressons ici au déploiement des applications de traçage destinées à lutter contre la pandémie de la Covid-19 et aux différentes stratégies adoptées par quelques nations, dont la France et l’Allemagne. Nous abordons cette thématique avec Frantz Rowe l’un des trois auteurs d’une <a href="https://www.tandfonline.com/doi/full/10.1080/0960085X.2020.1803155?scroll=top&needAccess=true">récente étude</a> qui souligne que la stratégie, le pilotage et l’outillage allemands furent <em>in fine</em> plus pertinents que ceux de nombreux pays occidentaux dont la France.</p>
<p><strong>Frantz Rowe, à la suite de votre <a href="https://www.tandfonline.com/doi/full/10.1080/0960085X.2020.1803155?scroll=top&needAccess=true">publication du 13 septembre dernier</a>, concernant les applications de traçage/contact dans le cadre de la pandémie de Covid-19, pouvez-vous nous rappeler leur fonctionnement et leur but ?</strong></p>
<p>Les applications informatiques qui servent au traçage, comme celles proposées actuellement en lien avec l’épidémie de Covid-19, permettent de repérer, tester et isoler les personnes ayant été en contact avec des personnes étant testées comme positives au virus. Elles peuvent être abordées selon <a href="https://www.sciencedirect.com/science/article/pii/S0268401220310136?via%3Dihub">trois catégories</a>.</p>
<ul>
<li><p>Celles comme <a href="https://solidarites-sante.gouv.fr/soins-et-maladies/maladies/maladies-infectieuses/coronavirus/tout-savoir-sur-la-covid-19/article/contact-covid-et-si-dep-les-outils-numeriques-du-depistage-covid-19">contact-Covid</a> en France qui permettent de documenter qui a été au contact de qui, et dans ce réseau de contacts, qui a été testé, qui est positif ou non. Les cas positifs nouveaux et leurs contacts récents sont interrogés par des brigades de traçage. Ils sont appelés à s’isoler en attendant le résultat du test et pendant la durée correspondant à celle où ils sont supposés être contaminant s’ils sont positifs. Et l’on remonte ainsi les chaînes ou réseaux de contamination. Les données issues de ces entretiens sont des données confidentielles enregistrées dans ces applications.</p></li>
<li><p>Celles comme <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000041869923/2020-09-24/">SI-DEP</a>, correspondant à des plates-formes sécurisées de dépistage déployées en mai 2020 en France, enregistrent les résultats des laboratoires qui ont effectués des tests RT-PCR afin de vérifier que tous les patients positifs ont bien été pris en charge.</p></li>
<li><p>Celles comme <a href="https://www.economie.gouv.fr/stopcovid">StopCovid</a>, application sur smartphone déployée en juin 2020 en France, permettant de détecter si l’on a croisé quelqu’un qui a été infecté par le virus et qui est donc potentiellement contaminant.</p></li>
</ul>
<p>En pratique, ces applications à dimension médicales sont protégées. Seules les personnes habilitées à consulter, à lire et/ou à modifier leurs fichiers dédiés peuvent le faire. En France elles sont <a href="https://solidarites-sante.gouv.fr/soins-et-maladies/maladies/maladies-infectieuses/coronavirus/tout-savoir-sur-la-covid-19/article/contact-covid-et-si-dep-les-outils-numeriques-du-depistage-covid-19">soumises au secret médical</a>.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/6Xo9esyiwbs?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p><strong>Pourquoi ces applications font-elles débat ?</strong></p>
<p>Les deux premiers types d’applications sont utilisés depuis une dizaine d’années par les administrations et les laboratoires afin de mieux connaître les voies de transmission des virus de personne à personne.</p>
<p>Leur légitimité n’est certes pas contestée si l’on veut en effet que l’État puisse tenter de contrôler la diffusion d’un <a href="https://www.gouvernement.fr/info-coronavirus/comprendre-la-covid-19">virus dangereux</a> pour la population. En revanche l’application sur smartphone pose de nombreux problèmes, essentiellement parce qu’elle est fondée sur le déclenchement d’une requête lié à la communication de données personnelles en situation de mobilité. Il s’agit de savoir si les autres personnes que l’on vient de croiser dans certaines conditions spatio-temporelles étaient touchées par le virus. Si la contagiosité d’une de ces personnes est avérée alors le porteur du smartphone est prévenu et il peut consentir à être appelé par une brigade pour être éventuellement testé.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/uxRisBAAVBU?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
</figure>
<p>Ces conditions spatio-temporelles – plus d’un quart d’heure à moins d’un mètre – témoignent d’une interaction rapprochée et longue mais seraient beaucoup trop contraignantes. En termes techniques cela signifie que les spécifications renverraient plus à un mode de transmission du virus par grosses gouttelettes (postillons) que <a href="https://www.un.org/fr/coronavirus/articles/risk-confirmed-of-aerial-virus-transmission">par les aérosols qui sont probablement aujourd’hui la voie principale</a> de transmission, le toucher étant le mode de <a href="https://www.nature.com/articles/d41586-020-02058-1">transmission le moins fréquent</a>.</p>
<p>La solution StopCovid avec ses spécifications restrictives n’est donc pas une panacée. De surcroît, en France, les données servant l’application sont centralisées. Dès lors, leur piratage et leur triangulation éventuelle avec d’autres données de ces mêmes personnes faites courir un <a href="https://www.lemonde.fr/pixels/article/2020/05/05/donnees-personnelles-des-malades-du-covid-19-et-de-leurs-contacts-la-cnil-promet-d-etre-vigilante_6038772_4408996.html">risque plus grand aux fichiers correspondants</a>.</p>
<p>Enfin la population devrait porter sur soi un smartphone en situation de mobilité et activer la technologie Bluetooth de façon systématique alors que cette technologie présente des <a href="https://www.lesnumeriques.com/telephone-portable/une-nouvelle-faille-de-securite-touchant-le-bluetooth-a-ete-devoilee-n150563.html">failles de sécurité</a>. Elle n’est ni sûre quant aux données collectées ni fiable quant aux distances qu’elle couvre. En somme pour être prévenu qu’on a croisé quelqu’un qui vient de contracter le virus, on s’expose à voir ses données personnelles exploitées à des fins potentiellement malhonnêtes. Pour couronner le tout – outre la dimension énergivore – on accepte, même durant un temps limité, d’être surveillé et subrepticement on initie une <em>mauvaise habitude.</em></p>
<p><strong>Dans quelle mesure la mobilisation de la philosophie et du concept d’aliénation constitue un angle d’attaque original de cette problématique liée à l’acceptation et l’adoption des technologies ?</strong></p>
<p>Les philosophes nous aident à prendre du recul. Ils mettent en lumière des phénomènes comme la dialectique du maître et de l’esclave développée par Hegel – le maître, passif et oisif, devient peu à peu étranger au monde que transforme l’esclave par son travail puis ne peut que constater l’inversion du rapport de domination – dans son œuvre majeure – <a href="https://www.cairn.info/revue-archives-de-philosophie-2007-3-page-455.htm"><em>la Phénoménologie de l’esprit</em></a>.</p>
<p>Ceci nous permet de penser le risque que peut présenter la transformation digitale et notamment l’intelligence artificielle vis-à-vis de <a href="https://doi.org/10.1080/0960085X.2018.1471789">nos valeurs républicaines</a> notamment les libertés d’aller et de venir, le droit à l’oubli, la non-discrimination et l’égalité.</p>
<figure class="align-center ">
<img alt="Conversation avec Frantz Rowe à l’IAE de Nantes" src="https://images.theconversation.com/files/359758/original/file-20200924-16-kidf87.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/359758/original/file-20200924-16-kidf87.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=450&fit=crop&dpr=1 600w, https://images.theconversation.com/files/359758/original/file-20200924-16-kidf87.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=450&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/359758/original/file-20200924-16-kidf87.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=450&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/359758/original/file-20200924-16-kidf87.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=566&fit=crop&dpr=1 754w, https://images.theconversation.com/files/359758/original/file-20200924-16-kidf87.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=566&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/359758/original/file-20200924-16-kidf87.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=566&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Rowe Bidan, Nantes (septembre 2019).</span>
<span class="attribution"><span class="source">rowe_bidan</span></span>
</figcaption>
</figure>
<p>Dans la spécialité et le corpus théorique des <em>systèmes d’information</em> un courant récent s’attaque à la face sombre des technologies (« dark side of IT ») notamment les <a href="https://doi.org/10.17705/1CAIS.03505">travaux de John D’Arcy et de ses collègues</a>. Ils montrent combien la technologie (assistant vocal, caméra de surveillance, progiciel de gestion intégré, réseau social, etc.) peut être aisément détournée de sa fonction ou de son usage premier et, parfois, devenir un outil de surveillance et de contrôle intrusif, coercitif et invasif !</p>
<p>Ces travaux soulèvent également des problématiques particulières liées par exemple à <a href="https://doi.org/10.1016/j.ijinfomgt.2020.102134">l’addiction au smartphone</a> chez les jeunes générations et de fortes différences de pratiques selon leur sexe. D’autre part ces recherches questionnent le point de vue épistémologique et la nature de la connaissance en lien avec la matérialité – dans sa dimension physique et technique – du smartphone.</p>
<p>Ainsi, comme notre collègue <a href="https://www.ryerson.ca/iitm/people/director-ojelanki-ngwenyama/">Ojelanki Ngwenyama</a>, membre de l’Académie des Sciences d’Afrique du Sud et Professeur à l’Université de Toronto, nous a aidé à le souligner, l’aliénation chez Hégel est fondamentalement reliée à une fausse conscience du réel, elle questionne notre rapport à la nature et à nous-mêmes.</p>
<p>L’épidémie de Covid-19 et les pratiques qui en découlent nous poussent donc à questionner ce concept d’aliénation, qui dans ce cadre renvoie aussi bien à la connaissance, à l’architecture et à la mise en œuvre des technologies, qu’à la confiance envers les institutions et l’exécutif.</p>
<p><strong>Pourquoi le cas de la France vis-à-vis de l’Allemagne est emblématique des échecs et réussites de ces déploiements technologiques faisant face à une même menace et à un même objectif a priori ?</strong></p>
<p>Avec notre collègue et co-auteur <a href="https://www.iae-paris.com/fr/enseignants/annuaires/jean-loup-richet">Jean‑Loup Richet</a> nous avons établi une comparaison internationale à la suite <a href="https://doi.org/10.1080/0960085X.2020.1803155">d’investigations sur 10 pays</a>. Après mise en perspective, nous montrons que l’Allemagne a su éviter certaines erreurs commises par la France en termes de communication politique, de choix de design de l’application et de mise en œuvre du dispositif.</p>
<p>L’Allemagne a fait, elle, un <a href="https://doi.org/10.1016/j.ijinfomgt.2020.102181">choix d’architecture décentralisée</a> avec grosso modo des données qui restent stockées sur le smartphone de l’utilisateur de l’application et ne s’envolent pas sur un serveur centralisé distant. De plus, outre Rhin, l’application a été développée de façon plus transparente – le code était ouvert – et avec le concours de nombreux développeurs externes qui ont travaillé collégialement.</p>
<p><strong>Comment expliquez-vous que l’Europe face à un tel sujet transfrontalier n’ait pas (encore) réussit à proposer un outil commun ?</strong></p>
<p>Chaque gouvernement a voulu montrer qu’il agissait et gardait la main en situation de crise. Ces situations sont aussi l’occasion de redorer le blason de la nation. Pour agir et vite la France a fait le <a href="https://www.lemonde.fr/pixels/article/2020/04/28/application-stopcovid-la-france-isolee-dans-son-bras-de-fer-avec-apple-et-google_6038015_4408996.html">choix de développer une solution souveraine</a>.</p>
<p>Il s’agissait aussi de montrer notre (relative !) indépendance <a href="https://theconversation.com/la-taxe-gafa-une-bien-timide-reponse-a-la-toute-puissance-de-ces-multinationales-pas-comme-les-autres-116537">face aux puissants GAFA</a> et de faire briller nos (réelles) compétences technologiques sur un sujet touchant le bien commun. L’idée centrale – et louable – est aussi d’échapper à toute monétisation des données.</p>
<p>Malheureusement, reconnaissant qu’il y avait problème tant du point de vue de la rapidité du développement que de l’efficacité en termes d’inter-operabilité internationale – c’est-à-dire faire communiquer les applications entre elles – les Britanniques <a href="https://www.lefigaro.fr/secteur/high-tech/le-royaume-uni-prefere-finalement-la-solution-d-apple-et-google-pour-son-application-de-tracage-20200619">ont fini par accepter la solution développée par Google et Apple</a>.</p>
<p>L’Europe, l’Allemagne en tête, a proposé une solution interopérable à laquelle se sont rangés les Anglais et d’autres nations. L’Europe <a href="https://www.frenchweb.fr/face-a-la-propagation-du-covid-19-lue-teste-linteroperabilite-entre-les-applications-de-tracage/404599">plaide ainsi pour l’interopérabilité de toutes ces applications</a> et propose un système « passerelle » face à un virus qui ignore les frontières. La logique voudrait que la France rende également sa solution interopérable.</p><img src="https://counter.theconversation.com/content/146682/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Marc Bidan est membre et ancien président de l'association information et management (AIM)</span></em></p>Cet entretien s’intéresse aux applications de traçage destinées à lutter contre la Covid-19 et compare les différentes stratégies adoptées notamment par la France et l’Allemagne.Marc Bidan, Professeur des Universités - Management des systèmes d’information - Polytech Nantes, Auteurs historiques The Conversation FranceLicensed as Creative Commons – attribution, no derivatives.