Protégez les données personnelles

Notons que la protection de la vie privée est un droit relativement ancien, puisqu’il est défini dans la Déclaration universelle des droits de l’homme de 1948 rédigée par les Nations Unies, qui précise :

« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

Il faut bien se remettre dans le contexte de l’époque, à la sortie de la Seconde Guerre mondiale, et à la problématique des régimes totalitaristes, qui cherchaient par tous les moyens possibles de s’assurer de la « loyauté » des individus. Comme indiqué dans l’article de la Déclaration des droits de l’homme, on imaginait les immixtions comme étant des actions physiques : intervention dans son domicile, ouverture des lettres, espionnage, etc. Avec les technologies numériques, en particulier le web et les objets connectés, une foultitude de nouvelles sortes d’intrusion dans la sphère privée sont désormais possibles.

Au travers de nos smartphones, de nos messageries mail ou instantanées, de nos GPS, des appareils de fitness, de nos lunettes connectées, ou tout simplement des requêtes que nous posons à un moteur de recherches, nous sommes amenés à dévoiler des quantités incroyables de données, et ces données sont selon toute vraisemblance des données personnelles. Nous sommes donc en droit de nous interroger sur la légitimité de la collecte et de l’analyse de celles-ci, surtout lorsque ces traitements s’effectuent à notre insu, ou sans notre consentement. Plus que jamais, l’article de 1948 reste pertinent aujourd’hui : nul ne devra être l’objet d’immixtions arbitraires dans sa vie privée.

Prenons par exemple un réfrigérateur connecté, qui serait capable de commander les produits courants que nous consommons, lorsque nous n’en avons plus. Cette fonctionnalité peut paraître de prime abord pratique, et assez peu risquée. Toutefois, c’est en réalité l’intégralité de nos habitudes de consommation qui sera dévoilée par ce réfrigérateur.

En effet, publier une liste de courses permet de savoir de nombreuses choses : en étudiant la consommation au fil du temps, de savoir combien de personnes habitent au domicile, si éventuellement personne n’est présent car aucun produit n’a été consommé, ou encore d’évaluer le risque sanitaire si on voit que trop de produits gras ou sucrés sont achetés. On comprend, dans le cas du dernier exemple, qu’il n’y a qu’un petit pas à franchir pour que le réfrigérateur décide de manière plus ou moins autonome, de contacter votre assureur, ou votre médecin.

Afin de calculer votre position et pouvoir l’afficher sur une carte, ce tracker dispose par exemple d’un GPS, et d’un accéléromètre pour mesurer votre vitesse ou votre nombre de pas, et en déduire les calories consommées. Tant que ces informations restent confinées dans l’appareil, ou dans votre ordinateur personnel, il n’y a sans doute pas de problème de confidentialité.

Toutefois, si vous participez par exemple à un concours sur un réseau social, pour voir les parcours et temps de vos amis, vous êtes déjà en train de dévoiler des informations. Pour le partage avec vos amis, ça peut paraître une décision pesée, voulue, et donc acceptée. Mais en réalité, afin d’atteindre cette fonctionnalité, l’application gérant le tracker aura récupéré votre position, l’aura stockée sur ses propres serveurs, et sera capable de l’exploiter si elle le souhaite.

Si je poste un message disant que je suis en vacances pour 15 jours à 10 000 km de chez moi, un individu mal intentionné pourrait utiliser cette information pour me cambrioler. C’est par exemple ce qui a été démontré par le site pleaserobme.com (cambriolez-moi svp), qui portait une intention pédagogique de prise de conscience.

Ces dernières années, de nombreux scandales ont éclaté, montrant à quel point les données personnelles des individus étaient exploitées par des entreprises peu scrupuleuses, ou par des agences de renseignement. Le plus important exemple est sans doute l’affaire Snowden, du nom de ce consultant de la NSA (un service de renseignements américain), qui a dévoilé l’ampleur de la surveillance des données numériques des individus, en particulier le programme de renseignement PRISM, qui permettait un accès direct à n’importe quel compte mail hébergé par des sociétés américaines, ou encore l’accès à tous les appels téléphoniques des opérateurs téléphoniques majeurs aux États-Unis.

Un autre plus récent est le scandale Cambridge Analytica, du nom de la société britannique qui a utilisé les données personnelles de dizaines de millions d’Américains afin d’effectuer un ciblage politique personnalisé, pour essayer de convaincre chaque individu ciblé de voter pour Donald Trump. Il est important de se rappeler que ces données ont pu être récoltées au travers de l’installation d’une application sur le réseau social Facebook, appelée « This is my digital life ». De même que dans le cas de Snowden, c’est un employé interne de l’entreprise, l’ancien directeur de la recherche, Christopher Wylie, qui a lancé l’alerte.

Cette solution n’est clairement pas satisfaisante. Aussi, tout au long de ce cours, nous allons essayer de réfléchir à l’impact du traitement des données personnelles, et comment être capable de réaliser une application utilisant des données d’un objet connecté, tout en respectant les droits fondamentaux des individus à la vie privée. Nous allons voir qu’en effet des solutions existent pour à la fois proposer de nouvelles applications et respecter la vie privée.