En une année, plus de données ont été récoltées que depuis le début de l'histoire de l'humanité. Et cette tendance va s'accroître de manière exponentielle avec les quelque 100 milliards d'objets connectés annoncés à l'horizon 2025. Partagées, interprétées, retraitées, les données ne nous appartiennent plus. L'expression « données personnelles » a-t-elle encore un sens ? Qu'en est-il du « droit » qui les protège ? Restera-t-il, à terme, lettre morte ? Les réponses de l'avocat Adrien Basdevant, coauteur, avec Jean-Pierre Mignard, de L'Empire des données*.

Le Point : Vous donnez l'exemple de personnes que l'on a pu identifier à partir de données « anonymes » mises à disposition par Netflix. La notion juridique de « donnée personnelle » a-t-elle encore un sens ?

Adrien Basdevant : Dans le règlement européen (RGDP) qui entrera en vigueur en mai 2018, on oppose les données personnelles aux données anonymes qui ne permettent pas de remonter à l'identité de la personne. Technologiquement, ces données anonymes n'existent pas, car comme le montre l'exemple de Netflix, il est aujourd'hui algorithmiquement impossible de rester anonyme. Le privilège de l'anonymat n'appartient qu'à quelques technophiles et experts qui ont une connaissance précise de la technologie…

Et pourtant, ce règlement vise à « protéger » davantage nos données personnelles ?

Il a déjà pour rôle décisif de sensibiliser la société civile à ces questions. Les responsables de traitement de données personnelles auront des obligations renforcées dont ils devront prendre pleinement conscience. C'est la condition indispensable pour insuffler une véritable culture de la data qui soit respectueuse des droits des individus. Le règlement constitue ainsi une occasion unique d'éduquer l'ensemble des parties prenantes à la gouvernance des données.

Il faut néanmoins bien garder à l'esprit que les données personnelles ne sont pas les seules à présenter des risques. On concentre trop régulièrement l'attention sur ce type de données, alors que les algorithmes traitent aussi des données publiques comme les données de transport qui ont un potentiel d'exploitation et un impact sur notre quotidien tout aussi important. Par ailleurs, la classification algorithmique s'intéresse de plus en plus aux profils des groupes et non aux données personnelles des individus.

Le privilège de l'anonymat n'appartient qu'à quelques technophiles et experts qui ont une connaissance précise de la technologie

Justement, des logiciels identifient les personnes au chômage ou accusant des retards de remboursement. Des start-up renseignent le fisc sur le train de vie des contribuables ou indiquent aux organismes de santé nos risques de développer telle ou telle maladie. D'autres encore, comme Cambridge Analytica, développent des outils pour manipuler l'électorat. Où se trouve la ligne rouge ?



La règle est la suivante : les données collectées par tel ou tel organisme doivent l'être pour une finalité déterminée (par exemple, recommander des livres sur la base des précédents achats). Si elles sont revendues dans un marché secondaire ou transmises à des acteurs qui ne respectent pas les finalités pour lesquelles elles ont été initialement collectées, a fortiori si des décisions algorithmiques sont prises sur la base de ces données, cela est illégal. Encore faut-il être en mesure de savoir qu'il y a des algorithmes qui détiennent des informations sur vous dans des conditions illégales… C'est précisément ce que vient de révéler un lanceur d'alerte à propos de l'application Cambridge Analytica, qui aurait collecté déloyalement les données de plus de 50 millions d'utilisateurs sur Facebook lors de la dernière campagne présidentielle américaine ! Des enquêtes sont en cours aux États-Unis et des actions de groupe se mettent en place pour divulgation non autorisée de données personnelles.

Lire aussi Tristan Nitot : Facebook a « laissé faire » Cambridge Analytica

Vous expliquez que, en cartographiant nos préférences pour modéliser nos comportements et à terme les prédire (débiteur à risque, par exemple), les traitements de données conduisent à des discriminations. Quelles sont celles qui vous paraissent les plus préoccupantes ?

Ce qui me paraît le plus préoccupant, c'est de juger un individu ou de lui refuser des droits, non pas sur la base de ses propres caractéristiques, mais sur la base d'actions d'autres individus avec qui il partagerait certaines caractéristiques. Une personne, dont l'algorithme n'a pas pris en compte le parcours ou l'environnement, mais seulement le fait qu'elle présente les caractéristiques des gens qui sont en défaut de paiement ou qui conduisent mal, risque d'être pénalisée par des primes d'assurance très élevées ou exclue d'un crédit immobilier. Mais en réalité, cette personne a pu traverser des difficultés ponctuelles et s'en relever… Si on poursuit la logique, en se basant sur le fait que la personne est née dans tel quartier, qu'elle a des parents de telle origine, et qu'elle a commis un vol avant 23 ans, certains algorithmes peuvent la classer dans la catégorie statistique des potentiels multirécidivistes. Cela reviendrait à juger un individu sur des comportements potentiels (ce qui pourrait advenir) plutôt que des comportements réels et actuels (ce qui est déjà advenu). Et l'on ferme ses chances de réinsertion sociale. Aussi précis soient les indicateurs, on ne peut pas réduire la complexité du monde et des humains à des mathématiques.

Cela veut dire que le hasard est aboli, et avec lui, la liberté individuelle…

Il est en effet dangereux de ne pas laisser advenir ce qui aurait pu être autrement. Si un adolescent de 15 ans ne sait pas exprimer telle aptitude scientifique, peut-être sera-t-il plus tard un grand musicien ? Le classer, l'enfermer dans la catégorie des personnes en échec scolaire, n'a pas de sens ! On s'expose à une normalisation des profils. C'est la raison pour laquelle il est essentiel de pouvoir contester la norme intégrée aux technologies.

En se basant sur le fait que la personne est née dans tel quartier, et qu'elle a commis un vol avant 23 ans, certains algorithmes peuvent la classer dans la catégorie des potentiels multirécidivistes

De quelle manière ?

Il faut que le codeur devienne éthicien et le juge statisticien. Cela passe par l'hybridation des connaissances, en formant à l'éthique ceux qui conçoivent les algorithmes, et à la culture algorithmique ceux qui les interprètent. Je prends un exemple. Si des outils d'aide à la décision décrivent que dans 80 % des affaires correctionnelles de violences avec arme, l'individu a été jugé coupable, et si les statistiques précisent que dans 85 % de ces affaires, les prévenus ont écopé de 3 mois de prison minimum et présentent 95 % de chances de récidive, ces chiffres pourront être présentés à un juge chargé de les interpréter. Le problème c'est qu'un juge, et on ne peut lui en vouloir, ne saura pas les interpréter s'il n'a pas une culture de la statistique. On peut tout faire dire à un chiffre, qui bien souvent nous amène à confondre corrélation et causalité. Dire que dans l'État du Maine, il y a une corrélation à hauteur de 99,26 % entre les personnes qui consomment de la margarine et celles qui divorcent ne veut pas dire que manger de la margarine est la cause de leur divorce. Les algorithmes établissent des vérités statistiques, qui ne reflètent pas nécessairement « la » vérité. Il faut donc développer une culture critique des chiffres.

Les algorithmes sont tout à la fois législateurs, juges, enquêteurs privés… Est-ce cela le « gouvernement des algorithmes » ? Ce que vous dénommez le « coup data » va-t-il tuer l'État de droit ?

Le « coup data » correspond à notre ère où les données sont devenues les nouvelles clefs du pouvoir. Aujourd'hui, on gouverne par les data. Cela signifie que ceux qui détiennent les données possèdent le pouvoir. Le postulat de l'approche actuelle du big data, est de dire ramassons toutes les données et on verra après, on réussira un jour à les faire parler. Cela a beaucoup d'effets positifs comme détecter des phénomènes communs à certaines maladies auparavant imperceptibles. Mais il faut se garder de déléguer ou sous-traiter aux algorithmes des décisions structurantes de notre quotidien, sans pouvoir en délibérer collectivement. La conséquence directe de cette révolution, c'est que la norme ne se conçoit plus seulement en termes de législation, mais en termes de programmation. Le « coup data », c'est la concurrence du code juridique des États par le code informatique des algorithmes.

Il faut donc « ouvrir » ces algorithmes au débat public et politique ?

Il faut absolument que ces techniques soient connues, débattues dans la sphère publique. Des algorithmes aussi sensibles que ceux qui déterminent les conditions d'accès à un crédit ou à un emploi doivent pouvoir être interrogés. Sur quel critère décide-t-il que telle personne a accès ou non au crédit ? Les critères sous-jacents de l'algorithme ne sont-ils pas discriminatoires ? Car on doit pouvoir contester son mode opératoire. Il faut faire en sorte que les citoyens se réapproprient ce sujet pour engager un débat démocratique. L'algorithme doit être discutable dans l'arène publique. Et cela passe une fois de plus par l'éducation de chacun.

Il faut se garder de déléguer ou sous-traiter aux algorithmes des décisions structurantes de notre quotidien, sans pouvoir en délibérer collectivement

Pensez-vous que la devise « code is law » (le code informatique est « la » loi) est une fatalité ?

Pour l'instant, on s'en remet de manière quasi divine au code informatique. Comme on parlait d'Internet avec un « I » majuscule. Demain, la blockchain permettra d'exécuter automatiquement des « smart contracts » (contrats intelligents, NDLR) si les conditions sont réunies. Pour s'en assurer, on fait appel à des « oracles », qui sont des bases de données extérieures. Par exemple, si le train a en retard de 4 heures et que la SNCF s'est engagée à rembourser 40 euros en cas de retard, l'oracle (par exemple le site d'un journal attestant qu'il y a eu un accident sur cette ligne ou un site d'horaire de train) envoie l'information permettant de vérifier que la condition est remplie, et le paiement sera alors effectué. La « majuscule » d'Internet, l'« oracle » de la blockchain… Ces termes ne sont pas neutres. À nous de développer un esprit critique pour ne pas s'en remettre de manière mystique à des technologies, dont le mode de fonctionnement nous échapperait et dont tous les résultats seraient acceptés comme des vérités, sans aucun débat contradictoire.

Vous écrivez que le contentieux des données sera le contentieux du futur. De quelle nature sera-t-il ?

Le vrai sujet de demain c'est la cybercriminalité. Les entreprises, hôpitaux, crèches, tout est piratable. Les enquêteurs doivent développer des outils pour remonter à l'identité des personnes qui commettent ces actes. Cela va de l'intrusion dans des systèmes informatiques, à la collecte déloyale de données. La récente polémique autour de Facebook n'en est qu'une prémisse. Tout sera une question de preuve, car il va s'agir d'appréhender les auteurs de cette nouvelle forme de délinquance. Les juges ne sont pas encore armés pour comprendre et même caractériser les infractions. Il sera par exemple très difficile de remonter à l'identité de ceux qui financent des activités de terrorisme via des cryptomonnaies et qui utilisent des outils d'anonymisation.

Lire aussi notre dossier Bitcoin, l'affaire ou l'arnaque du siècle ?

Finalement, sommes-nous encore des « sujets » de droit face à ces technologies invasives et opaques qui appréhendent les individus de manière « industrielle », comme des « agrégats temporaires de données », selon l'expression d'Antoinette Rouvroy ?

Si les algorithmes prennent des décisions que l'on est incapable de contester, nous ne sommes plus des sujets à leur égard. C'est la raison pour laquelle il faut se réapproprier politiquement ces débats pour être en mesure d'interroger les règles de fonctionnement des algorithmes. La question sera : quel choix collectif devons-nous faire face à ces nouveaux rapports de force entre les États, les plateformes et les citoyens ? La solution est-elle juridique ? technologique ? éthique ? Seuls une approche pluridisciplinaire et un fort engagement politique nous permettront d'appréhender ces sujets de rupture.





Consultez notre dossier : Données personnelles : comment les protéger ?

Don Quichotte, 276 p., 19,90 €