Données personnelles - protection de nos libertés individuelles

Falque-Pierrotin - Attard - Messaud

Titre : Données personnelles : où en-est la protection de nos libertés individuelles ?
Intervenants : Isabelle Falque Pierrotin, présidente de la CNIL - Isabelle Attard, ex-députée écologiste - Arthur Messaud, juriste - Yves Decaens, présentateur
Lieu : Le téléphone sonne - France Inter
Date : juillet 2017
Durée : 42 min 15
Écouter le podcast
Licence de la transcription : Verbatim
NB : transcription réalisée par nos soins.
Les positions exprimées sont celles des intervenants et ne rejoignent pas forcément celles de l'April.

Description

Rouage essentiel de plus en plus d'industries, la collecte de données personnelles met partout en cause la relation entre progrès technologique et libertés individuelles.

Transcription

Yves Decaens : « Toute personne a le droit de décider et de contrôler les usages qui sont faits des données la concernant », la loi d’octobre 2016 pour une République numérique1 est très claire en complément de ce qu’indiquait déjà, d’ailleurs, la loi Informatique et libertés à la fin des années 70. Même à l’ère numérique qui est la nôtre, la protection des libertés individuelles reste l’axe central de notre législation et les règles européennes qui entreront en vigueur au mois de mai prochain viendront encore le confirmer ; les organismes publics et les entreprises doivent s’y préparer, mais comment s’assurer du respect de la loi ? Comment maîtriser les données qui nous concernent ? Comment garder notre autonomie dans un monde de plus en plus connecté ? C’est le sujet du téléphone sonne ce soir. Vos questions au 0145247000 ; sur Twitter #telsonne ou par mail franceinternet.fr.

Voix off : Yves Decaens - Le téléphone sonne

Yves Decaens : Et pour en débattre, bonjour à vous trois Isabelle Falque-Pierrotin, présidente de la CNIL2, Commission nationale informatique et libertés ; Isabelle Attard, ex-députée du Calvados, auteur de nombreux amendements sur la loi numérique ; Arthur Messaud de La Quadrature du Net3, association de défense des droits et libertés des citoyens sur Internet. Et donc bonjour à vous. Isabelle Falque-Pierrotin, présidente de la CNIL, d’abord un mot, quel est le rôle de la CNIL dans cette affaire ? Vous avez un rôle de conseil, rappelons-le, mais aussi de rappel à l’ordre.

Isabelle Falque-Pierrotin : On a un rôle de conseil ; on a un rôle d’accompagnement ; on a un rôle de sanction pour, effectivement, ceux qui ne respectent pas les orientations de la loi. Mais je crois que votre introduction a bien dit les choses. On est dans une situation où l’individu, maintenant, veut avoir la maîtrise de ses données. Donc nous, nous essayons d’accompagner cette évolution.

Yves Decaens : Première question avec Thierry qui nous appelle, je crois, de Craponne. Bonjour Thierry.

Thierry : Bonsoir. Dès que nous sommes connectés à Internet, nous sommes suivis. Quelle est l’opinion de vos intervenants ?

Yves Decaens : Autrement dit, à quoi bon essayer de se protéger ? C’est ce que vous voulez dire Thierry ?

Thierry : Je donne un exemple. Dès que j’ai appelé France Inter, ils m’ont rappelé trente secondes plus tard en me disant : « Nous vous connaissons. »

Yves Decaens : Ça c’est votre numéro de téléphone !

Thierry : Nous vous connaissons, donc France Inter me suit !

Isabelle Falque-Pierrotin : Je crois que la remarque de votre auditeur est très juste. On entre dans un univers où, je dirai, le profilage, le ciblage, est invisible. Et il est quasiment systématique par rapport à tout ce que nous faisons en ligne, voire ce que nous faisons dans la vie physique. C’est-à-dire que notre navigation en ligne permet de nous profiler de façon fine, à laquelle s’ajoutent nos données de géolocalisation, les données qui sont collectées sur tous les petits outils que nous avons à notre main, nos montres connectées, nos compteurs communicants dans la maison etc., et donc, effectivement, chaque individu, a l’impression d’être passé à travers un tamis qui sert beaucoup aux entreprises et peu à lui-même. Et donc, je crois que l’enjeu de cet univers numérique c’est faire remettre l’individu au centre, lui donner la possibilité d’exercer ses droits et, le cas échéant, de dire « ça je ne veux pas ». Par exemple partager ma géolocalisation avec toute une série d’acteurs économiques.

Yves Decaens : Isabelle Attard, donc vous êtes ex-députée du Calvados, je le rappelle. Vous avez présenté de nombreux amendements à l’époque de la loi numérique. Vous aussi, toujours dans le même sens, la protection des libertés individuelles.

Isabelle Attard : Oui, et pas que, pas que la loi numérique. Justement, parce que dans toutes les lois sur l’état d’urgence, la loi terrorisme et renseignement, on touche également, de toutes façons, la notion des données personnelles, de leur utilisation. Ce que disait l’auditeur est très intéressant : c’est effectivement, dès que vous vous connectez, vos données peuvent être utilisées. Maintenant, il faut savoir quel est le consentement, quel est le degré de consentement des internautes pour telle ou telle finalité. C’est bien ça aussi qui est l‘enjeu du règlement européen qui va être en application l’année prochaine, mais également, ce dont il faut avoir connaissance en France, aujourd’hui. C’est-à-dire que si je me connecte, si je consens à donner mes données pour une utilisation, ce n’est pas pour qu’on utilise ensuite pour autre chose. Et donc voilà !

Yves Decaens : On voit dans les enquêtes que les automobilistes, par exemple, sont prêts à être plus suivis à condition que leur police d’assurance soit baissée, par exemple. Ils sont prêts à ça !

Isabelle Attard : Dès qu’on a la notion d’argent, de négociation ; finalement, si on est propriétaire — parce que certains voudraient qu’on le devienne — si on devient propriétaire de nos données ça veut dire qu’on peut les commercialiser et en retirer un bénéfice économique. Là c’est un terrain extrêmement glissant !

Yves Decaens : Très intéressant, en fait. Complètement actuel.

Isabelle Attard : Très intéressant, avec différentes théories qui s’affrontent, mais en tout cas c’est très intéressant et, personnellement, je n’ai pas envie d’aller dans ce niveau-là, dans cette direction-là.

Yves Decaens : Arthur Messaud, vous êtes juriste à La Quadrature du Net, l’association de défense des droits et libertés des citoyens sur Internet.

Arthur Messaud : Je vais repartir juste de la question posée par l’auditeur. Pour être pisté sur Internet il faut votre consentement. Ça c’est le droit actuel. Si vous ne dites pas « j’accepte » on n’a pas le droit de le faire.

Yves Decaens : Ça c’est le principe.

Arthur Messaud : C’est le principe.

Yves Decaens : C’est la théorie, mais en réalité c’est différent.

Arthur Messaud : Il y a deux choses. D’abord, dans la pratique, il y a une définition du consentement qui a été acceptée, qui était particulièrement large, notamment le consentement implicite. Du moment que, en bas d’une page, il y a marqué : « Si vous continuez à naviguer sur ce site vous acceptez telle et telle chose » — petite note que personne ne va lire — à ce moment-là, on va considérer que vous avez donné votre consentement. Heureusement, cette situation va changer dans le droit qui va entrer en vigueur en 2018 : on va vous demander un consentement explicite qui exige un acte de votre part. Donc là, déjà, les personnes vont retrouver du contrôle, au moins de la maîtrise sur ce qui se passe ; mais ce que soulignait Mme Attard est vraiment l’enjeu du débat actuel. C’est : est-ce que un consentement peut-être négocié contre un service ? Est-ce que pour accéder au monde.fr, à Gmail, à Facebook, vous êtes obligé d’abandonner votre vie privée ? D’accepter d’être fiché pour accéder à ce service ? Est-ce que la vie privée, une liberté fondamentale, est l’équivalent de l’argent ? A une valeur économique ?

Nous, très clairement, on dit que non, on dit que toutes les libertés fondamentales — le droit de vote, le droit de s’exprimer, le droit de se déplacer, de se marier — sont en dehors du commerce. Ça veut dire qu’on ne peut pas les vendre contre de l’argent. Sinon ce qui se passe, en fait c’est ce qu’on voit déjà, c’est que si vous voulez avoir accès à service qui est vraiment sécurisé, à un journal qui ne va pas vous pister, à des services respectueux, vous devez payer, systématiquement. Et ceux qui ne peuvent pas payer, ceux qui ont trop peu d’argent, eux doivent payer avec leur vie privée et des libertés fondamentales. Et là, c’est clairement contraire aux idéaux démocratiques : les libertés sont gratuites pour tous ; on ne peut pas les vendre.

Yves Decaens : Mais comment fait-on ? Comment contrôler tout cela ? Isabelle Falque-Pierrotin, par exemple.

Isabelle Falque-Pierrotin : Je crois qu’il y a toute une négociation qui se déroule avec ces grands acteurs de l’Internet qui, évidemment au départ, n’avaient aucune envie de limiter la combinaison extrêmement extensive qu’ils font des données de leurs clients. Et depuis quatre à cinq ans, avec l’ensemble des autorités européennes de protection des données, on essaye de faire en sorte que cette combinaison excessive de données que font ces acteurs soit encadrée et que, notamment, les individus puissent, selon les finalités qui sont poursuivies, pouvoir consentir ou éventuellement dire qu’ils ne sont pas d’accord. Donc si vous voulez, je crois que, à la fois la pratique et puis l’évolution du cadre juridique qui donne des droits nouveaux aux personnes, vont dans le sens, finalement, d’une maîtrise plus grande de l’individu.

Mais moi j’attire quand même l’attention des auditeurs sur la difficulté du consentement, parce que qui dit consentement dit nécessité de comprendre ce à quoi on consent. Nécessité d’avoir un consentement qui soit simple à exercer. Or, sur tous ces sujets, dans le fond, les choses sont quand même assez complexes et donc il ne faut pas non plus que l’ensemble de la charge de régulation pèse sur l’individu lui-même et qu’on lui demande en permanence de consentir à un certain nombre de choses. Donc il faut qu’il y ait effectivement du consentement, mais il faut aussi que les acteurs, dans leurs pratiques, intègrent aussi, par défaut, un certain nombre de garanties qui protègent les libertés individuelles et les données personnelles.

Yves Decaens : Alors justement, problème souvent d’information, parce qu’on ne sait pas vraiment ce qui se passe au-delà de notre écran d’ordinateur. C’est le sens, entre autres, de la question de Sylvie qui nous appelle de Toulouse. Bonsoir Sylvie.

Sylvie : Oui bonsoir.

Yves Decaens : Nous vous écoutons.

Sylvie : J’avais une question concernant le calendrier partagé. Nous avons un calendrier Google partagé, que nous remplissons avec toutes les activités de la famille, les enfants… Et on s’est posé la question des garanties, en fait, de confidentialité, concernant ces données très personnelles et qui sont versées dans le calendrier familial de Google. Y a-t-il un risque d’exploitation de ces données personnelles ? Et aujourd’hui, existe-t-il un autre calendrier partagé qui aurait une charte respectueuse de nos données personnelles ?

Yves Decaens : Qui peut répondre à cela ? Isabelle Attard.

Isabelle Attard : Oui. C’est intéressant parce que je remarquais dernièrement que lorsque vous réservez un billet d’avion par Internet, l’horaire et le nom de la compagnie, etc., apparaissent directement, justement dans votre agenda Google, donc c’est très intéressant, sans que vous ayez rien fait, en tout cas en apparence. Et de toutes façons, les données sont épluchées. Auparavant les mails étaient scannés, le contenu des mails sur Gmail.

Arthur Messaud : Toujours apparemment.

Isabelle Attard : Il faut voir si la réglementation interne à Google aurait changé, mais toutes les données seront utilisées après, à des fins commerciales, évidemment. Évidemment ! Puisqu’on vous fera ensuite, et ça c’est important d’en parler dès à présent, de la publicité ciblée. C’est exactement le principe de l’utilisation des données, des métadonnées. Les données c’est, on va dire, le contenu de vos messages, de vos échanges que vous faites avec des échanges mails, mais aussi avec vos SMS, avec toutes les applications de messagerie, quel que soit le nom de l’application. Et il y a les métadonnées, c’est-à-dire les informations telles que l’heure où vous faites un message, où vous écrivez un message, à qui, par quelle antenne relais passe votre message. On peut vous localiser sans que vous ayez cherché à l’être spécialement, mais votre téléphone correspond, de façon régulière et permanente, avec une antenne à proximité. De toutes façons, il y a déjà ces informations-là. Donc à nous de savoir comment réagir ; il y a la notion de responsabilité des utilisateurs, des internautes.

Yves Decaens : C’est-à-dire ? Comment ?

Isabelle Attard : Du réalisme. Peut-être ne pas forcément mettre toutes les informations sur ces machins-là partagés !

Arthur Messaud : Je ne suis pas d'accord.

Yves Decaens : Ne plus utiliser un calendrier déjà.

Arthur Messaud : C’est ça le problème. On n’utilise plus le calendrier.

Isabelle Attard : Ce que je veux dire par là, c'est les utiliser, mais s’assurer — et c’est ce que disait Isabelle Falque-Pierrotin tout à l’heure — c’est-à-dire que les GAFA doivent assurer cette confidentialité et c’est ce qu’on leur demande. On doit pouvoir utiliser la technologie.

Yves Decaens : Les GAFA, donc Google, Amazon, Facebook, etc.

Isabelle Attard : C'est-à-dire qu'il y a ce qui se passe aujourd’hui et il y a ce qu’on aimerait voir arriver pour la suite, pour la protection de nos données.

Yves Decaens : Arthur Messaud.

Arthur Messaud : Je vais répondre directement à votre question en trois points

Premier point est-ce que Google analyse le contenu de votre calendrier ? Alors là je n’ai pas les CGU [Conditions générales d’utilisation] sous les yeux, mais je peux vous dire que Google, son métier en tout cas c’est de faire de l’analyse des données privées pour faire de la publicité. Et quand on voit ce qu’il a fait sur le mail pendant des années, c’est-à-dire qu’il lisait le contenu des mails, chaque mail envoyé, sans le consentement de la personne qui écrivait à la personne Gmail, systématiquement, et qu'il faisait des fiches sur tous les correspondants. Quand on voit que son activité principale sur Gmail c’était de faire ça, le calendrier c’est assez évident qu’il doit y avoir une exploitation.

Vous nous dites comment on peut faire autrement ? Pour un calendrier partagé, ça va être un problème ; pour chaque problème il existe des solutions. Moi je vous invite à vous rendre sur le site de Framasoft4 qui est un site français qui propose des alternatives aux services Google, donc vous aurez votre solution, je pense.

Mais prenons un peu de hauteur et est-ce que vraiment, à chaque fois qu’il y a un service qu’on a l’habitude d’utiliser, qui est pratique, que tout le monde utilise, que tout le monde connaît, est-ce qu’à chaque fois qu’il y a un service comme ça qui porte atteinte à nos droits fondamentaux, il faut que nous on réfléchisse comment faire ? Qu’on demande à un ami geek est-ce que tu connais une alternative, etc. ? Est-ce que c’est à nous de faire l’effort individuellement, avec nos connaissances techniques limitées ? Ou est-ce que ce n’est pas à ceux qui ont la puissance, la puissance intellectuelle, la capacité technique, eux de faire cet effort-là, ne serait-ce que nous demander le consentement avant d’exploiter notre vie privée ?

Yves Decaens : Et on peut ne pas utiliser Google ! Il existe d’autres services. Qwant5, citons-le ! Par exemple.

Arthur Messaud : Mais ce n’est pas à nous de faire des efforts. En fait c’est au législateur d’imposer à ces personnes qui ont la maîtrise de la technique la plus poussée de les faire. Si on demande à chaque individu d’être un expert en technique pour protéger ses libertés fondamentales, c’est un doux rêve. Ça n’arrivera pas. On n’aura pas les capacités. Eux ont les capacités.

Yves Decaens : Isabelle Falque-Pierrotin.

Isabelle Falque- Pierrotin : Oui. Je cois que, comment dire, il y a un rapport de force qui doit s’équilibrer, se rééquilibrer entre les individus, les citoyens européens, et ces grands acteurs mondiaux. Ces grands acteurs mondiaux, jusqu’à présent, considéraient le gisement de données personnelles comme un gisement, je dirais, exploitable à l’infini et permettant tous types de combinaisons selon tous types de finalités. En gros, quelle que soit la manière avec laquelle vous interagissiez avec Google, les données qui étaient collectées à cet effet étaient mutualisées et servaient au profilage.

Depuis quelques années, entre les autorités européennes de protection des données, il y une coopération qui conduit à dire à Google cette combinaison tout azimut n’est plus possible. Cela va prendre un peu de temps que le modèle économique et les pratiques de l’entreprise s’ajustent totalement. Mais il est évident que grâce au cadre juridique européen, grâce aussi aux pratiques nouvelles des personnes, on a la possibilité de rééquilibrer le rapport de force. Mais moi je crois que même si ça n’est pas aux individus, effectivement, de se protéger en permanence, on a quand même aussi à intégrer un certain nombre de réflexes de base dans cet univers numérique. Et c’est particulièrement vrai pour les jeunes. Quand on dit aux jeunes : « Faites attention sur les photos que vous postez, sur les comptes que vous avez. Quand vous avez dix comptes n’ayez pas dix fois le même mot de passe pour éviter que tout ceci soit mutualisé », si vous voulez ça fait partie d’un hygiène, aussi, et une prophylaxie de base qu’il faut avoir dans ce nouvel univers connecté.

Donc je crois que c’est tout un ensemble de leviers qui permettent in fine de garder une forme de régulation de cet univers.

Yves Decaens : Autre question. Celle de Bertrand qui nous appelle d’où ça ? Du Gosier. C’est ça Bertrand ? Le Gosier. Où est-ce que c’est Le Gosier ?

Bertrand : Oui. C’est à la Guadeloupe.

Yves Decaens : Très bien. Nous vous écoutons.

Bertrand : D’abord merci pour vos émissions qui illuminent nos débuts d’après-midi, avec le décalage horaire pour nous, à la Guadeloupe. La question que moi je me posais c’est que ces données qui sont, en tout cas pour mon compte, captées à mon insu parce que je ne souscris jamais à la distribution de celles-ci, ces données ont une valeur marchande que les opérateurs se revendent entre eux. Cette marchandisation de nos données, elle nous échappe en termes de bénéfice. Est-ce que ça, ça pourrait être pris en compte, corrigé ? Et est-ce que des propositions dans ce sens pourraient être mises en œuvre de telle sorte que notre consentement, à ce moment-là, aurait en contre-partie un bénéfice ?

Yves Decaens : C’est ça. On pourrait être rémunéré sur le commerce de nos données personnelles. Arthur Messaud.

Arthur Messaud : C’est déjà le cas en fait. Vous avez accès à des services pour lesquels vous ne payez pas contre votre vie privée. Dans les faits, on est déjà rémunéré en échange de notre vie privée, nos données personnelles. Et en fait, ça ne va pas du tout. D’abord on ne sait même pas si le prix qu’on paie est justifié. Un euro par mois pour un service mail, est-ce que ce n’est pas beaucoup plus intéressant que de livrer toute sa vie privée, de se laisser ficher, etc. ? Donc c’est déjà le cas, en fait, la proposition dont monsieur parle et c’est une situation qui ne va pas du tout. On voit des écarts entre les plus riches et les plus pauvres se créer en termes de qui peut se protéger, avec quels moyens, en fonction des services auxquels on a accès. Et comme je vous le disais au début, l’idéal démocratique s’oppose à cette marchandisation de la vie privée.

Yves Decaens : Isabelle Attard.

Isabelle Attard : Il ne faut pas oublier que dans nos données personnelles il y aussi les données des autres et que nos données contiennent, effectivement, des tas d’informations qui concernent un cercle extrêmement large de personnes autour de nous. Donc quand on réfléchit à cette commercialisation, finalement, des données, à partir du moment où on admettrait que nous sommes propriétaires, à titre individuel, de nos données, c’est déjà relativement faux, de manière intrinsèque.

Et ensuite, je préfère réfléchir comme le fait le collectif SavoirsCom16 avec Lionel Maurel, c’est de voir les données comme un ensemble de données collectives, comme les biens communs. Et à ce moment-là on réfléchit différemment. C’est-à-dire qu’il ne s’agit pas de commercialiser des données et de dire bon, puisque Google ou puisque d’autres GAFA ou d’autres services sur Internet utilisent les données que je produis — ça c’est important de le rappeler — je dois en tirer quelque chose, une compensation financière, puisqu’ils utilisent mes données. Moi, je préférerais qu’on réfléchisse en termes de collectif : nous créons des données collectivement parlant. Comment faire pour que, ensuite, on puisse se protéger ? Comment retirer ce consentement ? Ce qui est important à rappeler dans le règlement européen qui va être bientôt en application, dans les mots c’est très clair ; Isabelle Falque-Pierrotin parlait tout à l’heure de clarté, c’est écrit : « Le consentement donné par un acte positif clair ». Parce qu’aujourd’hui si on doit se farcir — pardon du terme — deux cents ou trois cents pages de conditions générales d’utilisation pour savoir exactement comment nos données vont être utilisées, je n’appelle pas ça clair, je n’appelle pas ça facile, et c’est mettre encore plus de complexité dans le monde du numérique alors qu’on a besoin de davantage de clarté.

Yves Decaens : Oui. Un mot.

Isabelle Falque-Pierrotin : Juste une réaction sur cette idée de, finalement, marchandiser ses propres données. Je crois que c’est très dangereux comme évolution parce que ça risque de mettre en place une sorte de système numérique à plusieurs vitesses, vous voyez, avec des marchés de la donnée en fonction de l’arbitrage que les uns et les autres feront. Donc je crois qu’il y a une tendance qui est une tendance qui est potentiellement assez dangereuse, finalement, pour les droits des personnes. Mais ce que je veux dire néanmoins c’est que, en fait, on a déjà des bribes de moyens pour l'individu, finalement, de piloter lui-même ses données dans le nouveau règlement européen à travers, par exemple, le droit à la portabilité des données.

Parce que le droit à la portabilité des données, qu’est-ce que c’est ? C’est le fait de pouvoir récupérer toutes les données que vous avez fournies, y compris celles qui ont été déduites de ce que vous faites sur Internet, pour soit les garder pour vous et en faire ce que bon vous voulez, soit, éventuellement, les porter auprès d’un autre fournisseur de service. Et donc là on voit bien que c’est un moyen non pas de créer un marché secondaire de la donnée, mais de créer la possibilité pour l’individu, finalement, de ne pas être prisonnier d’un écosystème industriel ou commercial par rapport à un autre.

Yves Decaens : Mais rien ne garantira quelles seront supprimées, en revanche.

Isabelle Falque-Pierrotin : Elles ne seront pas supprimées ! Non, non ! Il n’y a pas de suppression de la donnée. En revanche, c’est une ouverture à la concurrence et c’est le moyen de ne pas être prisonnier d’un acteur, qui me paraît très intéressant.

Yves Decaens : Autre point de vue, celui de Ludovic qui nous appelle de Thiers. Bonsoir Ludovic, nous vous écoutons.

Ludovic : Bonsoir. C’est plutôt, en fait, effectivement en résonance à l’intervenant précédent. La question c’est peut-être aussi de la poser en termes d’hypocrisie : aujourd’hui tout le monde utilise, ou presque tout le monde, des réseaux sociaux, des applications qui sont sur le téléphone ou les smartphones et qui sont d’accès gratuit. Aujourd’hui, on n’a pas trouvé de moyen économique de faire en sorte que des entreprises qui fabriquent ce type d’applicatifs ou de réseaux puissent survivre, tout simplement, économiquement sans monétiser la donnée, vu que les services sont gratuits. En fait, ma question derrière, est : tout le monde utilise tout cela, voudrait protéger la totalité de ce qu’il fournit, mais en même temps n’est pas prêt du tout à payer le moindre centime pour l’utilisation de tous les applicatifs. Je passe sur la musique etc., et sur les réseaux sociaux en particulier. Ça prolonge un peu ce que vous avez dit tout à l’heure. Moi je ne suis pas trop pour la monétisation, non plus, des données à titre personnel. Mais comment faire pour que ces entreprises aient envie de développer, mettre des milliers de programmeurs derrière qui soient rémunérés, tout simplement.

Yves Decaens : Donc pour vous, l’attitude de ces entreprises, en quelque sorte, elle se défend ?

Ludovic : Ce n’est pas qu’elle se défend, je n’ai pas dit que c’était la bonne solution. Après on peut tout imaginer, un Internet mondial, étatisé, qui protège le tout, peut-être. Mais aujourd’hui, vous ne ferez pas travailler les gens de Facebook ou de ce que vous voulez ou de Google gratuitement s’ils n’ont pas de moyens de récupérer une monétisation de l’information qu’ils ont.

Yves Decaens : Arthur Messaud.

Arthur Messaud : Deux choses. Une première chose, ce discours : les gens ne sont plus prêts à payer. En fait, toutes les entreprises un peu sérieuses qui ont besoin de sécuriser leurs informations ou qui font un vrai travail vont payer et vont payer même Gmail. Il y a des versions payantes de Gmail et des versions payantes de Facebook. En fait, des ressources monétaires directes, il y en a ; il y en a plein.

Ensuite l’idée de où est-ce qu’on va trouver des développeurs ou des contributeurs prêts à s’investir gratuitement ? Est-ce que vous avez entendu parler de Wikipédia qui est l’encyclopédie la plus importante au monde, qui est gratuite, faite par des bénévoles, sans modèle de surveillance de la population ? Est-ce que vous avez entendu parler de VLC, un lecteur vidéo qui est gratuit et qui est fait par des bénévoles, encore ? De Linux ? De Firefox ? Toutes ces choses qui, en fait, sont des produits du logiciel libre, extrêmement poussées en termes de sécurité, extrêmement intéressantes, systématiquement gratuites, faites par du bénévolat ou des systèmes économiques alternatifs. Et même quand on parle de communication, sur votre téléphone vous dites que vous avez plein d’applications, vous avez peut-être Signal qui est aussi gratuite et qui ne fait pas d’exploitation de vos données personnelles.

Vous allez avoir, comme ça, toute une panoplie, en fait, de logiciels qui sont déjà ou libres ou décentralisés, qui sont déjà sur le marché, qu’on utilise au quotidien — Firefox typiquement beaucoup de gens l’utilisent. Cette idée qu’on a absolument besoin de surveiller la population pour pouvoir financer les avancées techniques est fausse ! Les avancées les plus intéressantes dans la technique se sont financées autrement.

Yves Decaens : Donc il faudrait, de votre point de vue, débarrasser Internet de toute considération commerciale, si je vous suis bien.

Arthur Messaud : Non, non !

Yves Decaens : Il y a des entreprises qui en vivent de tout cela ; en fait, c’est ce que nous disait Ludovic.

Arthur Messaud : Bien sûr ! Il y a différentes formes d’entreprises commerciales. Firefox, je continue sur cet exemple-là, ils ont plein de salariés, ils ont beaucoup d’argent. Wikipédia, ils ont derrière aussi des structures où il y a des salariés et ça marche soit par le don, soit car ils vont fournir des services payants de conseil à des entreprises, etc. Moi ce que je dis c’est qu’une économie qui repose sur la surveillance de sa population contre son consentement ou un consentement forcé, est une mauvaise économie, ce n’est pas très compliqué à dire et il y a des solutions alternatives qui marchent depuis le début. Internet, l’informatique, s’est développée sans ce modèle économique-là.

Yves Decaens : Isabelle Falque-Pierrotin.

Isabelle Falque-Pierrotin. : Moi je rebondis sur ce vient de dire Arthur. Je crois que l’ère, en tout cas du chèque en blanc au bénéfice des GAFA, est terminée. Ça, ça me paraît clair. C’est-à-dire que les individus ne sont peut-être pas prêts à payer pour les services qu’ils ont aujourd’hui gratuitement. Ça, je crois que la majorité, quand même, ne sont pas prêts à payer. En revanche, ils veulent avoir leur mot à dire. Donc je crois que toutes les solutions alternatives, soit qui offrent d’autres modèles économiques, soit qui donnent la possibilité à l’individu de consentir ou d’avoir un retour et une capacité, je dirais, d’arbitrage, sont des modèles qui sont extrêmement intéressants et qui se développent. Maintenant est-ce qu’on peut totalement abandonner le payant [le gratuit, NdT] ? En tout cas pour le moment je ne crois pas.

Vois off : 19 h 42 France Inter - Le téléphone sonne. Vos questions au 01 45 24 7000 et sur les réseaux sociaux avec le mot clef telsonne.

Yves Decaens : Et nous parlons ce soir, au téléphone sonne, de la protection des données personnelles sur Internet avec cette question qui nous arrive par mail à propos de la nouvelle réglementation européenne. Elle impose aux entreprises, donc à partir de mai 2018, un délégué à la protection des données. Quel sera son rôle précis et son positionnement au sein de l’entreprise dans laquelle il travaillera ?

Isabelle Falque-Pierrotin : Je crois que le délégué c’est un personnage central dans le règlement puisque, en fait, ça va être la personne qui va être chargée de la gouvernance des données au sein de l’organisation ou entreprise à laquelle il appartient. En fait, c’est la personne qui va faire en sorte que dans les usages quotidiens de l’entreprise, de la collectivité locale où il se situe, eh bien dans ces usages quotidiens on a intégré les principes et les garanties de protection des données personnelles.

Yves Decaens : Toute entreprise devra avoir son délégué ?

Isabelle Falque-Pierrotin : La plupart des grandes entreprises qui font du traitement à grande échelle, les collectivités locales, les acteurs publics devront l’avoir. Donc en réalité, aujourd’hui, par exemple pour vous donner un chiffre, nous avons environ 16 000 organismes qui ont désigné un correspondant informatique et libertés qui, celui-ci, n’est pas obligatoire aujourd’hui. Nous, nous considérons à la CNIL que nous auront à peu près entre 80 000 à 100 000 organisations qui auront un délégué à la protection des données demain.

Yves Decaens : Ça va créer de l’emploi.

Isabelle Falque-Pierrotin : Donc ça va créer de l’emploi.

Yves Decaens : Mais ça va coûter cher aux entreprises !

Isabelle Falque-Pierrotin : Ça va coûter cher ou ça va obliger en tout cas les entreprises à identifier une fonction interne, suffisamment proche des métiers, pour distiller dans ses différents métiers, la R&D, le marketing, les préoccupations informatique et libertés, mais aussi suffisamment proche de l’échelon de direction de l’entreprise pour avoir une vision stratégique de ces questions. Donc c’est un personnage absolument central pour la conformité future en matière informatique et libertés

Yves Decaens : Isabelle Attard.

Isabelle Attard : J’espère que les entreprises françaises sauront réagir parce que, pour le moment, c’est vrai qu’au sein de l’Union européenne on voit une grande différence avec les pays anglo-saxons où c’est quelque chose d’habituel, la prise en compte des données personnelles, des requêtes des clients des entreprises. Je pense que ce sera plus facile pour certains pays que pour d’autres. Et la France a l’air d’avoir un petit peu de retard. Bon, j’espère que ça ira mieux dans quelques mois !

Isabelle Falque-Pierrotin : La France n’a pas plus de retard que les autres.

Isabelle Attard : Enfin c’est l’analyse au niveau entreprise. Tant mieux si ça va mieux !

Yves Decaens : C’est ce que disent les enquêtes : plus de 90 % des entreprises, pour l’instant, n’y ont pas réfléchi à ces histoires-là.

Isabelle Attard : Je pense que ça va venir. Il y a des pays où c’est plus un réflexe que d’autres, il faut quand même le reconnaître ! Après, je pense que dans ce règlement, ce serait bien de parler du droit à l’oubli.

Yves Decaens : Qui a été reconnu par la Cour de justice européenne.

Isabelle Attard : Oui, parce que, finalement, les clients d’une entreprise pourront le demander. L’entreprise doit être capable d’identifier l’ensemble des données qu’elle possède sur ses clients, de savoir où ces données sont localisées, et d’être capable de les supprimer rapidement. Ça c’est le texte tel qu’il est aujourd’hui. C’est très intéressant parce que là, pour moi, c’est une avancée. Est-ce que d’un point de vue technologique on arrivera à le faire ? Je ne sais pas. On verra !

Yves Decaens : À le contrôler surtout.

Isabelle Falque-Pierrotin : Le droit à l’oubli, ça existe déjà. En réalité ça existe déjà. Ce qui est nouveau c’est ce droit à la portabilité, qui lui est vraiment nouveau puisque, effectivement, la personne peut récupérer toutes les données que l’entreprise a sur elle et les récupérer dans un format qui est lisible, éventuellement, par d’autres. Ça c’est une vraie nouveauté ! Mais le droit à l’oubli stricto sensu et le droit à la suppression des données, le droit à l’accès, ça existait déjà dans la directive de 1995.

Isabelle Attard : Oui. Ce que je veux dire c’est que, on parlait de clarté tout à l’heure, c’est loin d’être clair. Ce qui est simple, c’est de donner l’accès à ses données personnelles, en retirer l’accès ou les contrôler. On est bien aujourd’hui dans ce dilemme-là. C’est-à-dire que le droit à l’information, la transparence dans l’utilisation des données, dans la finalité, on n’y est pas du tout. Le droit d’opposition, le droit de rectification, c’est là, je pense, où on doit mettre tous non efforts, en tout cas. On ne parle pas par rapport aux données personnelles. Beaucoup d’auditeurs parlent de propriété des données. Moi je pense qu’on doit surtout se concentrer sur le contrôle de nos données. Et ça, c’est là-dessus, à mon avis, que les réglementations doivent travailler.

Yves Decaens : Arthur Messaud.

Arthur Messaud : Là on vient de parler de deux avancées du droit européen intéressantes, positives : le délégué à la protection des données, la portabilité, le droit à l’oubli, mais parlons aussi des avancées négatives qui se profilent. Là, à la rentrée, en octobre, tout ce qu’on vient de dire va être remis en cause complètement au niveau de l’Union européenne par un règlement e-Privacy. Dès octobre, les votes les plus importants vont arriver et là-dedans, on voit quoi ? On voit, en fait, plus besoin de consentement pour analyser vos mails, vos communications sur Internet : votre FAI Orange pourra ouvrir, pourra voir passer tout ce qui passe sur son réseau et le lire pour faire de la pub ou autre chose ; disparition du consentement ; disparition du consentement pour être géolocalisé. Donc si vous entrez dans un magasin, on va pouvoir savoir quel chemin vous faites, combien de temps vous restez, avec qui, sans votre consentement ; juste, il suffira d’un petit panneau caché quelque part ou devant qui vous informera.

Donc il y a énormément de questions. Toutes les avancées qui sont apparues sont en train d'être remises en cause radicalement devant l’Union européenne, donc ce règlement e-Privacy. Je vous invite à suivre l’actualité de ce règlement dès la rentrée, dès septembre ; il y aura de nombreux débats, sur le site de La Quadrature ou de la CNIL qui reviendra dessus aussi, je pense. Ça va vraiment tout être remis en jeu et en bien, c’est possible, mais en très mal ; pour l’instant ça se dessine plutôt vers la direction très négative.

Yves Decaens : Autre question de Thierry qui nous appelle je ne sais d’où. Bonsoir Thierry.

Thierry : Bonsoir. En fait, je vous appelle du Danemark où je suis suis en congés actuellement.

Yves Decaens : C’est très international ce soir !

Thierry : Je vous écoutais. Je voulais réagir, plutôt que de poser une question, sur une des choses qui a été dite tout à l’heure, le droit à l’effacement des données aussi inclus dans la nouvelle réglementation sur les données privées, la GDPR [General Data Protection Regulation] qui sera active en 2018, c’est l’article 17. Donc pour revenir à ce que vous disiez tout à l’heure, en fait il sera possible demain de demander à la fois de porter les données, de les transférer — par exemple je demande à ce que mes données détenues par Amazon soient transférées à la Fnac — mais aussi de demander à effacer ces données ; donc en même temps, je demande à Amazon d’effacer mes données. Et ça, ça peut ouvrir un champ complet de capacités à déterminer qui peut, finalement, utiliser mes données et qui peut ne pas les utiliser. Et même si on pousse un petit peu plus loin le bouchon, on peut se dire que, à terme, il y aura des détenteurs de coffres-forts de nos données. Donc ces entreprises seront celles dans lesquelles je transférerai mes données pendant qu’en même temps je demanderai aux autres de les effacer.

Yves Decaens : C’est la portabilité dont vous parliez tout à l’heure Isabelle Falque-Pierrotin ?

Isabelle Falque-Pierrotin : Je crois que ce que dit notre auditeur est tout à fait juste. C’est vrai qu’on a une double possibilité avec le règlement. Mais moi je voudrais quand même juste insister sur le fait que, bien sûr, ce texte n’est pas parfait. Il est complexe, il est touffu, mais il représente quand même l’effort qu’a fait l’Union européenne d’unifier son marché et surtout de lancer un signal très important qui est : les données personnelles et leur protection c’est un enjeu majeur parce qu’il y a une échelle de sanctions qui a été considérablement revue, avec des sanctions à 4 % du chiffre d’affaires mondial, potentiel, de ces entreprises-là. Donc si vous voulez, on change, entre guillemets, « de nature de réponse ». Et même si la rédaction n’est pas parfaite, même s’il y a besoin de plus de clarification, on a maintenant un outil, à travers le règlement, de dissuasion vis-à-vis d’un certain nombre d’acteurs mondiaux qui est quand même extrêmement puissant, me semble-t-il. Si vous ajoutez le fait que dans le règlement européen nous avons la capacité, entre 28 autorités européennes de régulation, de codécider à 28 ! Ça va être le seul domaine de droit européen où 28 régulateurs ont la possibilité de prendre ensemble une même décision. Donc si vous voulez, là, l’Europe, quand même, arrive avec un certain nombre d’arguments.

Yves Decaens : Juste une précision avant de prendre Cécile au téléphone, on aurait peut-être dû commencer par là. Quelles sont les informations concernant les salariés qu’une entreprise a le droit de collecter ?

Arthur Messaud : Le contrôle de la vie privée en entreprise est dramatique, il est très faible. Au début, il y avait une jurisprudence intéressante qui, petit à petit, s’est complètement détériorée. Maintenant, du moment que le salarié est prévenu qu’on va regarder ses mails, en fait, le patron peut ouvrir la boîte mail professionnelle pour regarder tous les mails. C’est assez dramatique ! Je vous parlais du débat de la rentrée, là aussi il sera question de venir renforcer la vie privée au travail qui, en France, est laissée à l’abandon de façon assez importante.

Yves Decaens : Isabelle Attard.

Isabelle Attard : Oui, pour vous donner une idée, il faut lire aussi le livre[ En Amazonie], le reportage7 qui avait été fait par Jean-Baptiste Malet sur l’entreprise Amazon et sur l’utilisation, la collecte des données personnelles des salariés, qui ensuite partaient à Seattle dans ces énormes coffres-forts, dont parlait l’auditeur tout à l’heure, de données. Et c’est dramatique. Et rien qu’avec un exemple, celui de cette entreprise qui emploie bien des salariés français et européens dans d’autres entrepôts, pas seulement en France, l’utilisation qui est faite de ces données et de la collecte est terrifiante.

Yves Decaens : Autre question c’est Cécile qui nous appelle de Villefranche.

Cécile : Sur-Saône.

Yves Decaens : Sur-Saône. Nous vous écoutons. Bienvenue.

Cécile : Bonsoir et merci pour votre émission. C’était plutôt une remarque avec une question en plus, après. Les GAFA d’accord, on est méfiants, OK ! Mais il y a plein d’entreprises qui nous demandent, sur Internet, des informations personnelles et rien ne nous prouve que ces informations ne seront pas utilisées à mauvais escient. Voilà. Par exemple Blablacar me demandait, cet après-midi, de vérifier ma pièce d’identité ; bon je comprends très bien pourquoi, mais qu’est-ce qui me prouve qu’après, cette pièce d’identité ne sera pas utilisée à mauvais escient par un employé ou je ne sais. La SNCF, la banque, toutes nous demandent des informations personnelles. Alors moi je suis hyper-méfiante : tout à l’heure je me suis sauvée de Blablacar, franchement ; j’ai tout arrêté, j’ai fermé mon compte. Ça m’a fait peur !

Yves Decaens : C’est dommage ! Ça marche très bien Blablacar, pour les jeunes qui font du covoiturage. Mais c’est tout le hiatus des services en ligne. On est bien obligé d’en profiter, c’est un progrès et, en même temps, il y a effectivement un risque pour les libertés.

Isabelle Falque-Pierrotin : Je crois que ce que dit Cécile est parfaitement juste. C’est-à-dire qu’à chaque fois qu’on collecte une donnée personnelle sur vous, vous êtes en droit de demander pour quelle finalité elle est collectée. Et tout le travail de la CNIL, lorsque nous sommes saisis de plaintes comme la vôtre, c’est de vérifier que pour la finalité précise qui est annoncée par l’entreprise, la donnée qu’on vous demande est justifiée. Là c’est votre carte d’identité, d’autres demandent, par exemple, le casier judiciaire. Vous voyez ! On n’a pas besoin du casier judiciaire, dans la plupart des cas, pour accéder à un service. Dans l’instruction des plaintes, dans un certain nombre de cas, nous condamnons justement et nous menons des sanctions, enfin nous prononçons des sanctions à hauteur, aujourd’hui, simplement de trois millions d’euros face à des entreprises qui font ça.

Yves Decaens : Les deux tiers des plaintes concernent des pratiques commerciales, essentiellement ?

Isabelle Falque-Pierrotin : La plupart. Oui, oui. Des pratiques commerciales ou des pratiques au sein de l’entreprise, parce qu’effectivement la surveillance des salariés au sein des entreprises suscite énormément de plaintes. Je voudrais juste à cette occasion, quand même, nuancer le fait que la vie privée au sein de l’entreprise elle existe. Elle existe ! L’employeur peut collecter des données, là encore pour des finalités de gestion des carrières, de sécurité informatique. Il faut que ça soit justifié.

Arthur Messaud : Et pour licencier, pour chercher une faute.

Isabelle Falque-Pierrotin : Attendez ! Non !

Arthur Messaud : Le problème c’est pourquoi à ce moment-là, en fait. Quand on ouvre les mails, c’est pour licencier la personne ; trouver des fautes.

Isabelle Falque-Pierrotin : Bien sûr ! Mais il faut que l’employeur justifie la raison pour laquelle… Justement il doit apporter une preuve du contexte dans lequel il a collecté une donnée. En revanche, il n’est pas autorisé à surveiller de façon permanente ses salariés.

Arthur Messaud : Bien entendu !

Isabelle Falque-Pierrotin : Et nous, nous avons énormément de plaintes, par exemple pour des caméras de vidéosurveillance, d’individus qui disent : « Mais finalement, on a mis, au nom de la sécurité, des caméras partout ; en réalité c’est pour nous surveiller. » Donc là, on rejoint un petit peu ce que vous disiez et là, pour le coup, la CNIL sanctionne.

Yves Decaens : Isabelle Attard.

Isabelle Attard : Oui. Au nom du progrès technologique, pour améliorer nos vies quotidiennes, nous faire économiser de l’argent, nous faire économiser de l’énergie, on a également l’installation, en ce moment, des compteurs Linky et autres, Gazpar etc.

Yves Decaens : Très contestés !

Isabelle Attard : Très contestés et pour moi, en tout cas, dans l’utilisation, dans la récupération des données par rapport à ce qui se passe à l’intérieur d’une habitation : on saura exactement combien de personnes sont à un instant t dans telle habitation, dans tel appartement. Il y a le risque de piratage : la personne, l’auditrice parlait effectivement de qui utilise les données ; elle ne le sait pas. Je crois qu’on n’est pas capables, autour de la table, de dire exactement qui va analyser quoi aujourd’hui dans le type de données qui sera récupéré. Il y a une vraie intrusion dans la vie privée et c’est le cas. Si Enedis se comporte comme vendeur, ensuite, de données personnelles pour son chiffre d’affaires, pour augmenter son chiffre d’affaires, ce n’est pas spécialement la finalité qui est cochée au départ. Et je précise, cette finalité, pourquoi vous autorisez telle entreprise à collecter vos données personnelles, ça doit être clair ; ça ne l’est pas aujourd’hui ! Et quand il y a plusieurs finalités, il doit y avoir plusieurs cases à cocher. Et ça fait partie des nombreux combats.

Yves Decaens : Un tout dernier auditeur, peut-être Alain qui nous appelle de Dax.

Alain : Oui. Bonsoir monsieur et bonsoir à vos invités. Votre émission ayant suscité beaucoup de paranoïa chez moi, vous avez fait allusion tout à l’heure à Qwant. C’est un moteur que j’utilise depuis pas mal de temps et je me suis aperçu depuis quelque temps que, très régulièrement, je n’arrivais pas à accéder à certains sujets que je pouvais trouver sur la concurrence qui commence par un G. Donc je me disais, de manière paranoïaque, est-ce que c’est un hasard ou est-ce que Google peut avoir, lui aussi maintenant, le moyen de contrer un petit peu un site européen et français que, d’ailleurs, je recommande à beaucoup de vos auditeurs ?

Yves Decaens : De pirater son concurrent ?

Alain : Voilà. Est-ce que je suis parano, est-ce que ça peut s’envisager ?

Isabelle Falque-Pierrotin : Écoutez, je n’ai pas d’informations précises sur l’affaire, mais si c’était le cas, évidemment, ce serait, je dirais, une action anticoncurrentielle extrêmement préoccupante et j’imagine que la Commission européenne aurait matière à dire quelque chose. Voilà !

Yves Decaens : Pas d’informations sur ce point Isabelle Attard ?

Isabelle Attard : Une petite recherche hier. Chez nous on utilise un autre logiciel de recherche Startpage8 et pas Qwant pour, effectivement, protéger nos données. On n’a pas les mêmes résultats, dans la première page qui s’affiche, lorsqu’on utilise un autre moteur de recherche commençant par un G, comme dirait notre auditeur.

Yves Decaens : Google.

Isabelle Attard : C’est ça. Il ne faut pas oublier qu’il y aussi les opérations Dégooglisons Internet9 qui circulent parce qu’il y a d’autres solutions.

Yves Decaens : Vous n’avez pas les mêmes résultats, mais ils sont aussi efficaces ? Aussi bien ? Moins bien ?

Isabelle Attard : On n’a pas les mêmes résultats qui s’affichent. C’est efficace.

Arthur Messaud : Pour les gens qui veulent rester sur l’efficacité de Google mais sans être fichés, la solution de madame Attard est très bien, c’est Startpage, comme la page du début. En fait, c’est juste un site qui va sur Google à votre place et vous donne les résultats. C’est une solution alternative.

Isabelle Attard : En protégeant les gens.

Yves Decaens : Précisons quand même, Isabelle Falque-Pierrotin, que la nouvelle législation européenne, donc à partir de mai 2018, concernera les entreprises américaines situées sur le sol européen.

Isabelle Falque-Pierrotin : Vous avez tout à fait raison. C’est une nouveauté très importante de ce règlement qui s’appliquera, effectivement, à toutes les entreprises européennes, bien sûr, mais aussi étrangères, même non établies en Europe, dès lors qu’elles ciblent un citoyen ou un consommateur européen. Et ça, c’est une avancée considérable parce que ça remet à égalité de concurrence les entreprises européennes avec les entreprises internationales qui, aujourd’hui, arguent du fait qu’elles ne sont pas établies en Europe pour ne pas respecter le droit européen. Demain c’est fini : tout le monde au même niveau !

Yves Decaens : Juste une remarque très rapide le ministère de l’Éducation impose Microsoft à tous les élèves. Ils ont tous un compte. Est-ce que c’est un problème ? C’est Adrien qui nous demande ça par mail.

Arthur Messaud : Ah oui, c’est dramatique ! En fait, les alternatives à Microsoft, qui sont gratuites, elles sont géniales. Ce sont des bénévoles, comme je disais, qui développent ça ; ça va être Linux, Debian. Elles sont gratuites, géniales, sécurisées et c’est vraiment un scandale d’imposer juste pour faire de l’argent pour Windows.

Yves Decaens : Merci à vous, Arthur Messaud, Isabelle Falque-Pierrotin, Isabelle Attard. Merci à vous d’avoir participé à ce téléphone sonne/em>.

Isabelle Attard : Merci.