Que reste-t-il de la vie privée en 2019 ?

"Un enfant né aujourd'hui grandira sans aucune conception de la vie privée", a déclaré Edward Snowden le 24 décembre 2013 sur la chaîne de télévision britannique Channel 4. L'ancien consultant pour la National Security Agency (NSA) mettait en garde contre l'instauration d'une société de surveillance. "La vie privée importe (…) c'est ce qui nous permet de définir qui nous sommes et qui nous voulons être", concluait-il.

La culture du partage propre au fonctionnement des réseaux sociaux exige une redéfinition de la vie privée. Les exemples dans la presse se multiplient. Le 20 septembre 2019, Facebook a suspendu de sa plate-forme une dizaine de milliers d'applications qui se respectaient pas ses règles en matière de respect de la vie privée des utilisateurs. Dans son billet, la firme américaine affirme que les développeurs tiers restent un élément vital de son écosystème, même si la vie privée prime sur le reste. Mais qu'est la vie privée aujourd'hui, exactement ?

Un concept aux origines anciennes

Ce concept a des origines philosophiques assez anciennes. Au 4e siècle avant JC, Aristote faisait déjà la différence entre deux aspects de la vie : la vie imbriquée dans la sphère publique appelée "polis" et associée à la politique, opposée à la vie relative à la sphère privée, l'oikos. En Occident, ce principe évoluera sous l'impulsion des révolutions libérales à la fin du 18e siècle, en même temps que la notion d'émancipation.

1890, première définition juridique

Il faudra attendre 1890 pour que le concept de vie privée soient repris par deux avocats, Samuel Warren et Louis Brandeis, traduit par "le droit d'être laissé tranquille" (The right to be let alone). Aujourd'hui, de nombreux textes nationaux, européens et internationaux viennent protéger ce droit mais sans jamais le définir. Ce sont les juges qui, peu à peu, ont délimité les contours de cette notion en considérant comme des atteintes à la vie privée toutes les informations faisant intrusion dans l'intimité de la personne. Sont compris dans cette protection la vie sexuelle, la vie sentimentale, la situation financière, les souvenirs personnels, l'état de santé…

L'apparition d'une vie privée "numérique"

Aujourd'hui, nul doute qu'Internet a redéfini la notion de vie privée et a créé une sorte de "vie privée numérique" via le traitement des données personnelles. Déjà en 1999, le PDG de l'entreprise américaine Sun Microsystems déclarait que "vous n'avez plus de vie privée, il faut tourner la page". Un mouvement est né de cette idée : "Je n'ai rien à cacher". Ce slogan a été utilisé par le programme de vidéosurveillance pratiqué dans les villes au Royaume-Uni. Eric Schmidt, à l’époque président de Google, avait déclaré en 2009 : "Je pense qu’il faut faire preuve de jugeote. S’il y a quelque chose que vous faites et que personne ne doit savoir, peut-être qu’il faudrait ne pas le faire en premier lieu."

Rien de bien étonnant pour les géants du numérique que de défendre cette position : leur business model repose justement sur l'utilisation facilitée des données de leurs usagers. Les GAFAM se nourrissent de l'analyse et de la revente de ces informations. Ils peuvent ainsi définir plus finement le profit des consommateurs et se faire rémunérer en proposant ensuite aux entreprises des liens publicitaires ayant un impact commercial. Ces panneaux publicitaires numériques concurrencent les entreprises de "l'ancienne économie".

La naissance de la culture du partage

Nous communiquons des données volontairement lors d'inscriptions sur certains sites mais certaines informations sont également collectées à notre insu. Et ce n'est pas sans conséquence dans la "vraie" vie. Dans une étude menée par la Commission nationale de l'informatique et des libertés en 2014, près de 35 % des recruteurs reconnaissaient avoir déjà écarté un candidat à un emploi à cause de sa e-réputation négative.

La limite entre vie privée et vie numérique s'avère de plus en plus mince, et cette tendance n'est pas prête de s'arrêter. Selon le rapport Digital Annuel de Hootsuite et We are social, en 2018, le cap des quatre milliards d'internautes a été dépassé avec une augmentation de 7 % en un an. Dans cet espace numérique, on partage notre nom, prénom, date de naissance, adresse, nos centres d'intérêt mais également des photographies, des vidéos… autant d'informations qui restaient privées avant l'arrivée des réseaux sociaux.

Le tournant, PRISM et Cambridge Analytica

Plusieurs affaires ont démocratisé cette problématique. En 2007, PRISM ou US-984XN est créé par la National Security Agency (NSA), l'une des agences de renseignement des Etats-Unis. C'est un programme de surveillance informatique permettant de scanner les communications numériques échangées sur les services en ligne de nombreuses entreprises, dont Google, Facebook, Microsoft ou Apple… En 2013, le Guardian et le Washington Post révèlent l'existence d'une surveillance très poussée de ces canaux de communications en ligne. Selon les articles publiés par les deux journaux, la NSA et le FBI collectent et analysent les données laissées en ligne par des millions d'Américains et de ressortissants d'autres pays. Barack Obama tente de se défendre en arguant que ce programme a pour objectif la lutte contre le terrorisme.

Plus récemment, l'affaire Cambridge Analytica a relancé ce débat plus fortement encore. Tout commence en 2014 à l'Université de Cambridge où des chercheurs développent une technique pour comprendre le profit psychologique d'une personne seulement grâce à son activité sur Facebook. Le docteur russo-américain Aleksandr Kogan développe, sur cette étude, sa propre application nommée "ThisIsYourDigitalLife". Le principe est le suivant : payer des utilisateurs pour qu'ils répondent à des tests psychologiques en accédant à leurs données sur Facebook. Aleksandr Kogan explique qu'il récolte des informations pour ses travaux de recherche. En réalité, il vend l'ensemble de ces informations à Cambridge Analytica.

Près de 270 000 personnes ont téléchargé et utilisent cette application. Mais le montage ne s'arrête pas là : l'outil récupère les données des amis des utilisateurs sans que ces derniers ne soient au courant. En 2014 et 2015, plus de 50 millions de profits ont ainsi été récupérés. Le 17 mars 2018, le New York Times et le Guardian révèlent l'ampleur du scandale. Facebook n'a d'autre choix que de restreindre l'étendue des données auxquelles les développeurs avaient accès. Mais le mal était fait. Les données ont été utilisées pour influencer les élections présidentielles américaines et le référendum du Brexit au Royaume-Uni.

Le RGPD, un texte fondateur pour le respect de la vie privée sur internet

Aujourd'hui, c'est le Règlement général sur la protection des données personnelles (RGPD) qui constitue le texte de référence sur cette question. Il a permis de créer un cadre autour du traitement des données personnelles sur le territoire de l'Union Européenne.

Cette législation s'applique à toute organisation publique ou privée qui traite des données à caractère personnel pour son compte ou non dès lors qu'elle est établie sur le territoire européen ou que son activité cible directement les résidents européens. Mais elle concerne aussi les sous-traitants qui traitent les données pour le compte d'autres organismes. Ce texte instaure une sanction allant jusqu'à 4 % du chiffre d'affaire si une entreprise ne respecte pas les obligations du RGPD.

Anonymiser les données pour protéger la vie privée ?

Et si pour retrouver une part de vie privée, il fallait anonymiser les données ? Cette technique permet d'empêcher de manière irréversible l'identification d'une donnée. Elle s'apparente à une solution d'affranchissement des contraintes du RGPD car ce texte ne s'applique qu'aux données personnelles. Mais elle représente, dans le même temps, le niveau maximum de protection qui puisse exister.

Deux grandes catégories de techniques existent pour procéder à cette anonymisation. La "randomisation" consiste en la destruction du lien entre la donnée et la personne par l'emploi de la troncature, la substitution ou la mise à blanc. La généralisation provoque une dilution de l'information ou par modification de sa précision, de son échelle ou de sa grandeur.

Dès 2014, le groupe de travail "Article 29' sur la protection des données rend un avis dans lequel il déclare "les études de cas et les recherches publiées ont montré combien il est difficile de créer un ensemble de données vraiment anonymes en conservant suffisamment d’informations sous-jacentes pour les besoins de la tâche concernée".

Le G29 proposait une grille de lecture des solutions d'anonymisation à l'aide de trois critères : l'individualisation soit est-il toujours possible d'isoler un individu, la corrélation c'est-à-dire est-il possible de relier entre eux des ensembles de données distincts concernant un même individu et l'inférence, à savoir peut-on déduire de l'information sur un individu. Ainsi, un ensemble de données pour lequel il n'est possible ni d'individualiser, ni de corréler ni d'inférer est a priori anonyme.

Une machine capable de ré-identification

Or des chercheurs de l’Université catholique de Louvain et d’Imperial College London ont mis au point un système automatisé capable d'évaluer la probabilité pour une combinaison de caractéristiques connues (date de naissance, lieu de résidence, sexe…) d'être suffisamment précise pour décrire un seul individu parmi plusieurs milliards de personnes. Ces travaux ont été publiés le 23 juin 2019 dans la revue scientifique Nature Communications.

Les résultats de cette étude paraissent assez logiques car lorsque le volume de données augmente, les risques de ré-identification par recoupement sont importants. En fonction du comportement relevé dans les informations, les achats en ligne d'une personne ou les habitudes de navigation, des données même anonymisées peuvent conduire à identifier l'internaute. C'est pour cette raison que le G29 recommande aux responsables de traitement utilisant ces techniques "d’effectuer une veille régulière pour préserver dans le temps le caractère anonyme des données produites".

Le droit à l'oubli comme ultime solution ?

L'anonymisation ne doit pas être confondue avec l'effacement ou "le droit à l'oubli". Plusieurs étapes ont permis d'accéder à cette possibilité pour les citoyens européens. Un premier pas avait été franchi avec le droit au déréférencement introduit par la Cour de justice de l'Union Européenne (CJUE) le 13 mai 2014. C'est le fait pour une personne de pouvoir demander à un moteur de recherche de déréférencer des informations la concernant. Attention, ce n'est pas l'équivalent d'un effacement car les données en question seront toujours présentes sur Internet, et pourront être accessibles via un autre moteur de recherche.

Une seconde étape a été franchie par le RGPD qui inaugure une double obligation pour les responsables du traitement et les sous-traitants : ils doivent effacer, dans les meilleurs délais, les données à caractère personnel qu’un citoyen leur demande de supprimer mais aussi, compte tenu de leurs capacités techniques et du coût que cela peut représenter, prendre toute mesure raisonnable pour informer, lorsqu’il a rendu les données publiques, les autres responsables de traitement de la demande d’effacement. Cependant, il existe des limites à ce droit parmi lesquelles l'exercice du droit à la liberté d'expression et d'information, l'utilisation des données dans l'intérêt public dans le domaine de la santé ou encore de la constatation, de l’exercice ou de la défense de droits en justice.

Sélectionné pour vous

Géoblocage : Valve perd son procès antitrust face à la Commission européenne

Poursuite sans précédent contre le pouvoir monopolistique d'Amazon dans l'e-commerce

Intel condamné à une amende européenne de 376 millions d'euros pour abus de position dominante