La réglementation sur la protection des données est-elle futile ?

2018 a été un tournant en Europe et dans le monde dans le domaine de la sphère privée et de la protection des données. L’application du RGPD en mai a provoqué un vent de panique dans les milieux économiques, similaire à un krack boursier (toutes proportions gardées). Tout le monde ne parlait que de ça. Un temps entretenu par des experts, des articles et autres allocutions qui rappelaient à qui voulait l’entendre les importants risques financiers encourus en cas de violation, le soufflé a fini par retomber. Désormais, ce sont les autorités de protection des données des États membres de l’UE et la CJUE qui tiennent le monde en haleine respectivement avec les sanctions (comme celle de Google) et les interprétations des textes de loi.

Les scandales à répétition (ceux de Facebook en tête) ont fait les gros titres tandis que les internautes s’interrogeaient sur la bonne chose à faire, avant de repousser ce genre de décisions à plus tard. De leur côté, les entreprises de technologies ont fait grossir les rangs de leur département compliance et les membres du Congrès des États-Unis évaluent la possibilité et l’opportunité d’un RGPD à la sauce américaine, réclamé par certains.

Il faudrait être aveugle pour croire que tout ceci constitue un changement fondamental de la situation.

Internet est basé sur un modèle où l’on nous offre un service en échange d’informations sur notre personne, comme nos centres d’intérêt. Parler ici d’un service gratuit est un abus de langage car s’il n’y a pas d’appauvrissement du côté de l’internaute, il y a un enrichissement (potentiel) du côté du service. Internet est sous perfusion des dollars issus du monde publicitaire et aussi longtemps qu’il le restera, les diverses réglementations ne feront que gêner un peu aux entournures les acteurs de ce milieu en encadrant leurs activités et en les responsabilisant. Car, et c’est un fait, ils vont continuer inexorablement à collecter des données personnelles de toutes les manières possibles et imaginables.

La transparence et les bonnes pratiques que tentent d’instaurer les lois sur la protection des données ne permettront pas aux individus d’avoir plus de vie privée. C’est un leurre, voire une tromperie. Mais peut-être pas intentionnels, puisque ces lois cherchent à donner aux individus plus de contrôle sur les données qui sont traitées par des sociétés privées ou l’État.

Bien que louable, l’objectif est totalement irréalisable en s’y prenant comme nous le faisons aujourd’hui. Comment peut-on avoir le contrôle sur quelque chose si l’on ne sait même pas ce qu’est ce quelque chose, à qui il est transféré, combien de fois nous l’avons communiqué et à qui, où il se trouve, comment il est utilisé et par qui…? On ne peut même pas réellement être au fait de ce que ces sociétés savent sur nous, ou croient savoir. Et quand nous cherchons à comprendre comment ces sociétés opèrent, la lecture de leurs conditions générales est totalement indigeste et incompréhensible puisqu’elles ne sont pas rédigées pour leurs utilisateurs mais pour des juristes.

XKCD

Les individus aujourd’hui donnent accès à leurs données personnelles non pas parce qu’ils sont convaincus qu’ils verront des publicités pour des produits qui les intéressent, mais simplement parce qu’ils sont résignés. L’apathie de la population concernant l’utilisation abusive de leurs données personnelles est essentiellement due à deux éléments. Premièrement, les technologies et outils qu’on nous offre aujourd’hui rendent nos vies plus simples ou pratiques, on ne pourrait plus vivre sans. (Pourtant, essayez de vous passer de Facebook et Instagram comme je le fais depuis plus d’une année, vous vous rendrez compte qu’on vit très bien sans.) Deuxièmement, quand on y pense réellement, peu de gens se soucient réellement de leur vie privée, peut-être parce que c’est un concept (juridique et sociétal) difficile à appréhender. On s’offusque des violations qui ont des effets concrets et visibles sur des individus, comme une surveillance des télécommunications illicite par les autorités qui constitue une violation des règles de procédure pénale. La lecture des articles alarmistes d’experts et journalistes ne parvient pas à susciter de réaction dans la population. Pour y arriver, il faudrait pouvoir démontrer à quel point le business model des données de ces géants est néfaste pour la société et la démocratie. Mais on est vite dépassé par l’échelle du problème.

XKCD

Il est évident aujourd’hui que la manière dont le droit et les politiques appréhendent la protection des données et de la vie privée n’est pas adaptée à la manière dont nos données sont aspirées, amassées, analysées, partagées. Je ne pense pas que le RGPD ou la LPD soient des outils inutiles et inefficaces. Des dispositions visant à responsabiliser les sociétés en leur imposant des obligations et les individus en les invitant à adopter un comportement raisonnable sont évidemment nécessaires. Mais il faut aller plus loin encore, et réfléchir à des moyens pour trouver une solution au paradoxe quotidien de chaque internaute : vouloir plus de vie privée d’un côté mais partager largement ses données de l’autre, qui plus est avec des entités parfois peu recommandables ou indignes de notre confiance.

Quand j’étudiais le droit de l’environnement à l’université, j’ai étudié le fonctionnement des “permis de polluer”, notamment dans le domaine des émissions de CO2. Ces outils ont rendu la pollution légale, pour autant qu’on ne dépasse pas un certain seuil jugé acceptable. En outre, se pose la question de notre propre action. Qui n’a pas déjà pensé : à quoi bon faire des efforts pour protéger le climat si mon voisin n’en fait pas autant ?

Les lois sur la protection des données sont les permis de polluer des géants informatiques, des annonceurs et data brokers. Ils peuvent continuer leurs activités tant qu’ils ne sortent pas du cadre qu’on leur a fixé. Et pourquoi devrais-je abandonner WhatsApp si aucun de mes contacts ne le fait également ? Je me couperais alors d’un grand nombre de personnes.

C’est certainement mieux que rien, mais les permis de polluer ne règleront pas le problème du réchauffement climatique, et les lois actuelles et futures sur la protection des données n’empêcheront pas les abus et le profilage à outrance.

La protection des données telle qu’elle existe depuis environ vingt-cinq ans a échoué. Non seulement les moyens alloués à l’autorité chargée de faire appliquer la loi n’ont pratiquement pas augmenté – alors que la masse de données personnelles ne cesse de croitre –, mais la législation elle-même ne permet pas de protéger réellement les intérêts des individus.

Grégoire Barbey, Le Temps, 25 janvier 2019

Tout comme le changement climatique, la protection des données et de notre sphère privée nécessite une prise de conscience à l’échelle mondiale et une action concertée de la part des gouvernements et de grandes organisations pour prendre la menace au sérieux et agir en conséquence.

Si supprimer vos comptes Facebook et Google ne changera pas grand-chose dans les faits, que faire alors ? Je pense qu’il ne faut pas sous-estimer la puissance de l’action individuelle, qui vient s’ajouter à d’autres en suite, même si cela prend du temps. Les services et outils actuels reposent sur la confiance de leurs utilisateurs, si celle-ci s’érode, leur existence est menacée et cela peut les contraindre à opérer des changements. Cela a déjà marché, pourquoi ne pas réessayer en espérant que nos autorités ouvrent les yeux ?