Accueil  >  Types of posts  >  Contribution  >  Il ne faut pas avoir peur du « Point Godwin » [par Antoine Bonneville]

FIC Tech

Il ne faut pas avoir peur du « Point Godwin » [par Antoine Bonneville]

1. Une réalité bien présente Il s’agit d’examiner si les craintes relèvent de la chimère, de l’épouvantail ou si elles ont un fondement réel. Et plus précisément si ces craintes appartiennent à un passé révolu ou si celle-ci est encore présente. Si la crainte d’atteinte aux personnes en raison d’une atteinte aux données personnelles relève...

1. Une réalité bien présente

Il s’agit d’examiner si les craintes relèvent de la chimère, de l’épouvantail ou si elles ont un fondement réel. Et plus précisément si ces craintes appartiennent à un passé révolu ou si celle-ci est encore présente. Si la crainte d’atteinte aux personnes en raison d’une atteinte aux données personnelles relève du mythe ou de la réalité.

1.1 Des exemples historiques bien réels

À ce titre, des exemples, anciens et récents, peuvent servir à nourrir la réflexion et à envisager les éventualités futures.

Il ne faut pas craindre d’amener le débat sur la question nazie, il est même possible de commencer par là. Ainsi, l’informatique balbutiante et l’utilisation de données à caractère personnel ont permis d’organiser la « solution finale ». Avec les travaux de recensement de la population, notamment de la religion des personnes, et le traitement de ces informations massives pour l’époque par des moyens informatiques, le régime nazi a pu améliorer de façon significative l’efficacité de son plan funeste.

C’est d’ailleurs ce qui a servi de ferment à la création de la Commission Nationale de l’Informatique et des Libertés. Si le déclencheur est la volonté de créer un super-fichier, dénommé SAFARI, pour lutter contre la fraude fiscale, l’idéologie qui anime la CNIL est d’éviter les errements de la Seconde Guerre Mondiale, le fichage de l’ensemble de la population et l’utilisation de ces données contre ces personnes.

Cela est notamment visible par l’attachement de la CNIL à protéger le Numéro d’Identification au Répertoire (NIR). Dans sa délibération n°99-033 du 24 juin 1999, la CNIL cite le rapport du conseiller d’État TRICOT (1975) qui met en garde contre la création de super-fichiers car « notre histoire nationale, même la plus récente, offre des illustrations concrètes de troubles imprévus et de dérives individuelles ».

En effet, ce numéro de treize chiffres contient des séries significatives. Le premier chiffre désigne actuellement le sexe de la personne (1 pour les hommes, 2 pour les femmes). Mais, lors de la Seconde Guerre Mondiale, la volonté a été de se servir de ce numéro pour catégoriser la population et isoler les juifs et les « indigènes » en Algérie française. La controverse historique existe sur l’application réelle de cette mesure, mais elle n’en a pas moins laissé d’importantes traces dans la conscience collective et plus particulièrement au sein de la Commission[1].

La crainte d’une utilisation des données personnelles comme moyen d’atteinte massive à la sécurité des personnes repose donc bien sur un fondement historique, alors qu’à l’époque, les moyens de traitement des données étaient bien moindre qu’actuellement ou dans un futur proche.

1.2 Des risques encore bien présents

Plus près de nous, il est encore possible de trouver des utilisations des possibilités offertes par l’informatique pour organiser la répression ou atteindre les individus. Sans vouloir multiplier les exemples, il est tout de même possible de citer quelques cas tels que celui de l’application de rencontres « entre adultes » Grindr. Fin 2014, les autorités égyptiennes, ont été accusées d’avoir profité d’une mauvaise conception de sa sécurisation pour organiser des actions de répression contre les homosexuels. En réponse, l’éditeur a dû modifier son service afin de d’inclure des mesures de protection par défaut pour éviter ce type de détournement dans les pays où des informations sur les orientations sexuelles pourraient s’avérer sensibles[2].

Dans le même type de domaine des rencontres mais avec une menace d’une autre origine, il est possible de citer le cas du piratage du site Ashley Madison et surtout le fait que les données des utilisateurs ont été exposées au vu et au su de tous. Dans ce cas, il a été possible de déplorer des suicides commis par des utilisateurs qui n’ont pas supporté de voir leurs données ainsi révélées[3]. Compte tenu de la masse des données, il peut être craint que ce ne soit pas les seuls cas où une personne ait pu subir des conséquences concrètes d’un problème survenu dans le monde « virtuel ». Les conséquences de telles violations de données ne sont pas seulement financières ou d’image, elles peuvent aussi être humaines.

Ces cas peuvent laisser présager de ce qu’il est possible de faire dans un monde où les flux de données sont massifiés et mondialisés.

Ainsi, les risques passés ne sont pas des mythes et l’histoire récente démontre que par l’accroissement des bases de données, ce risque est encore plus présent. La question est alors de savoir quelle peut être la réponse face à un tel risque.

2. Les réponses possibles

Compte tenu de la réalité du risque, la protection des données personnelles ne relève pas d’une question triviale, caricaturale, qui peut être balayée d’un revers de main. Face à cet enjeu, la question est savoir si le droit peut être d’un réel secours ou si d’autres moyens doivent eux-aussi être mobilisés.

2.1 Une réponse juridique peu adaptée

Au niveau juridique, la solution n’est pas simple à définir, notamment par l’internationalisation des services. Il sera difficile d’aboutir dans un temps raisonnable à une obligation internationale réellement contraignante et satisfaisante. Il suffit de voir les atermoiements sur le règlement européen en la matière pour s’en convaincre. Il pourrait cependant être souhaité d’avoir une sorte de Loi bioéthique (révisable), dont le but serait de déclarer ce vers quoi la société ne devait pas aller.

Pour avoir une idée de la longueur de certains processus concernant les textes internationaux, il peut être regardé du côté du Pacte international relatif aux droits civils et politiques. Ce texte qui contient un certain nombre de déclarations qui semblent consensuelles telles que l’interdiction de la torture, de l’esclavage et du travail forcé ou encore le droit à la liberté a été adopté par l’Assemblée générale des Nations unies le 16 décembre 1966. Il a fallu attendre le 23 mars 1976 pour que 35 États ratifient ce texte et permettent son entrée en vigueur. La France ayant quant à elle attendu une loi du 25 juin 1980 pour ratifier ce texte. Loin devant les États-Unis qui ont attendu 1992 et n’ont signé ce texte qu’accompagné d’un grand nombre de réserves.

Les problèmes rencontrés sur ce texte, qui semble assez consensuel, se poseraient aussi pour l’adoption d’une sorte de « Charte des droits de l’Homme numérique », car celle-ci ferait intervenir de notions telles que la liberté d’expression, la résistance à l’oppression ou encore le droit à une procédure équitable. Les discussions seront d’autant plus âpres que le monde numérique est en constante mutation et qu’il s’agit d’un enjeu économique primordial pour les États. Car, certes il est possible de considérer le droit à la protection des données personnelles comme un droit fondamental, mais ces mêmes données personnelles sont aussi considérées comme « l’or blanc » du XXIe siècle. Une telle « Charte des droits de l’Homme numérique » viendrait en concurrence avec d’autres traités internationaux plus commerciaux, si ce n’est mercantiles.

Si le Pacte international relatif aux droits civils et politiques a mis plus d’un quart de siècle à réunir les principaux État de la planète, il est difficile de présager un consensus rapide sur la question de la protection des données personnelles au niveau mondial.

Une telle durée à l’échelle d’Internet est inconcevable.

En dehors de la recherche d’une réponse internationale, il peut être recherché un palliatif national ou régional. C’est par exemple le choix qui a pu être fait sur les « lois bioéthique » adoptées en 1994 en France. Face aux avancées en la matière et aux questionnements provoqués par ceux-ci, le Parlement a décidé, suite au rapport du Conseil d’État de 1988 intitulé « De l’éthique au droit » qui le conseillait en ce sens, de légiférer pour ne pas laisser à la seule décision des praticiens et des chercheurs les arbitrages éthiques sur ces questions sensibles. Cette loi prévoyait un mécanisme, original pour l’époque, de révision afin de tenir compte et d’accompagner les avancées technologiques. La France fut ainsi le premier pays en Europe à se doter d’une législation complète en matière de bioéthique[4].

La tentation pourrait être de procéder ainsi pour la protection des droits de l’Homme numérique, quand bien même cette question est fondamentalement internationale. Cependant, force est de constater que si les débats sur les lois de bioéthique ont été d’un niveau assez élevés, y compris au Parlement (en partie par la présence de « sachants » en la matière), les derniers exemples en date sur les questions numériques n’incitent pas à beaucoup d’optimisme sur la compréhension de la matière et de ses enjeux.

En effet, lors des débats sur la Loi sur le renseignement, dont les conséquences sur les méthodes de surveillance d’Internet ont été très fortes, plusieurs parlementaires ont osé avouer leur incompétence en la matière[5]. Ce texte a donné lieu à de nombreux débats flous et il est possible de craindre qu’il ait été adopté « aveuglément » par de nombreux parlementaires, malgré les conséquences de ce texte. Il s’agit d’un des exemples les plus récents et forts, mais ils pourraient être multipliés[6].

Alors le risque est qu’une norme nationale, ou même régionale, mette un temps démesuré à être adoptée, que celle-ci soit inadaptée (notamment qu’elle ne soit pas neutre technologiquement) et surtout rapidement dépassée (comme cela est à redouter pour le futur règlement européen, centré sur des thématiques d’actualité et non pas sur des mécanismes profonds).

Si la solution ne semble pas pouvoir venir, au moins à court terme, du côté du droit, le status quo n’est pas pour autant possible.

2.2 Les possibilités de l’initiative technologique

Néanmoins, pour une fois au moins, la technique devrait précéder le droit, y compris pour le bien du Marché. Le risque existe. Le besoin existe. La technologie peut y répondre.

Dans un monde en constante évolution et dans lequel la technologie des données a pris une place importante et qui va encore longtemps se développer, il faut tenter de voir un peu plus loin que la prochaine mise à jour et envisager ce qu’il se peut passer à moyen ou long terme.

À ce titre, la meilleure pratique est de prendre en compte le pire des cas concernant l’utilisateur ou le fournisseur de services. La création et surtout le développement du https au niveau mondial ne se sont pas fait selon une norme internationale mais par la preuve rapportée du risque que le non-chiffrement des communications faisait porter, notamment sur le développement du commerce électronique.

La notion de Privacy by Design répond en grande partie à ce besoin. Il s’agit au départ d’une idée développée durant les années 1990 par la Commissaire à l’information et à la protection de la vie privée de l’Ontario (Canada) Ann Cavoukian[7]. Elle repose sur le fait d’intégrer la protection des données personnelles dès le début des phases de conception et non pas ultérieurement.

Les sept principes fondamentaux sont :

  1. prendre des mesures proactives et non réactives ; des mesures préventives et non correctives ;
  2. assurer la protection implicite de la vie privée ;
  3. intégrer la protection de la vie privée dans la conception des systèmes et des pratiques ;
  4. assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle ;
  5. assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements ;
  6. assurer la visibilité et la transparence ;
  7. respecter de la vie privée des utilisateurs.

L’un des reproches qui pourrait être fait à cette notion est qu’elle n’ose pas assez mettre en perspective les enjeux de la protection des données. Il ne s’agit pas seulement de se restreindre à un argument publicitaire ou de simple mise en conformité (souvent a minima) avec la réglementation. Le Privacy by design devrait considérer la protection des données personnelles comme la protection des intérêts, de la sécurité, des personnes dans la perspective d’un individu évoluant dans un espace mondialisé et en constante évolution. La protection des données personnelles n’est pas la marotte de quelques geeks voulant éviter que les photos de leurs soirées estudiantines ne nuisent à leurs carrières, la protection des personnes par la protection de leurs données est un impératif commun au regard des menaces graves qui existent. Le pire est déjà survenu, il peut encore arriver, ici ou ailleurs, avec des moyens considérablement accrus.

S’il y a bien d’une chose dont nous devons nous méfier, ce n’est pas du risque d’être accusé de caricature, mais c’est celui de penser les choses (le droit, la technologie, la politique, etc.) à situation constante. Tout évolue. Nous devons nous y préparer. Il est de notre responsabilité de rester lucides, clairvoyants et de penser au pire.

 

Références : 

[1] HÉRAN François et SEBAG Jean-Claude, « L’utilisation des sources administratives en démographie, sociologie et statistique sociale », Dossiers et Recherches, INED, N°86, 2000, 171 p.

[2] http://grindr.com/blog/grindrs-location-security-update

[3] http://www.leparisien.fr/laparisienne/societe/scandale-ashley-madison-le-suicide-d-un-pasteur-americain-emeut-l-amerique-10-09-2015-5079361.php

[4] Voir le rapport du Conseil d’État « La révision des lois de bioéthique » du 9 avril 2009.

[5] Voir notamment http://www.nextinpact.com/news/94102-loi-renseignement-boites-noires-consacrees-en-commission-senatoriale.htm

[6] Sans même avoir à évoquer la question de la configuration d’un pare-feu OpenOffice.

[7] www.privacybydesign.ca

Pin It