Vie privée sur internet : « Protéger ne suffit pas »
Dans cet ouvrage, il propose une nouvelle approche de la protection de la vie privée, tant sociétale que technique, fondée sur la responsabilisation des individus et la prise en compte de motivations jusqu’ici mises de côté. Son credo : des règles, mais aussi de nouveaux outils techniques à inventer et une formation qui irait au-delà d’une simple mise en garde contre les dangers du web. Ses pistes de réflexion.
Quel est ce "paradoxe de la vie privée" sur lequel se base votre livre ?
Cette contradiction est la suivante. Quand on interroge les gens, ils disent qu’ils sont fichés par l’Etat, par les entreprises, que leurs informations personnelles ne sont pas protégées… Dans le même temps, ils répondent assez volontiers aux formulaires, aux questionnaires de marques, ils utilisent beaucoup les réseaux sociaux, et peu les moyens techniques qui sont censés les protéger contre la collecte abusive de données personnelles. Ce que nous disons, c’est que ce constat est vieux de quinze ans. N’attend-on pas des gens une cohérence qu’ils ne sont pas capables de réaliser ? N’y a-t-il pas d’autres motivations en jeu derrière ce paradoxe ?
Le patron de Facebook, Mark Zuckergberg, a une explication : "la norme sociale a évolué"…
La norme sociale a certes évolué, mais pas dans le sens d’une soumission à une espèce de transparence comparable à un pacte faustien, telle qu’il nous ne le propose. Un jour ou l’autre, le monde des réseaux sociaux fermés comme Facebook va se casser. C’est comme si on ne pouvait téléphoner qu’aux abonnés d’Orange quand on est chez Orange.
Y a-t-il aujourd’hui de réels abus dans la collecte, l’exploitation et la conservations de données à caractère personnel ?
Il y a de nouveaux risques. On constate qu’il existe énormément de sources de collecte de données directement personnelles : formulaires, traces laissées par la géolocalisation, etc. Or, dès que l’on croise deux ou trois types de données liées à la consommation, la circulation, le travail des individus, il n’est pas difficile d’identifier les gens. A l’époque de la loi Informatique et Libertés de 1978, ceux qui collectaient les données étaient de grands acteurs: Etat, grandes entreprises… Puis le champ s’est élargi. L’étape suivante a été l’accumulation de toute une série de données et de traces : péages, portiques, navigation sur internet, achats…, que l’individu laisse à son insu. L’étape la plus récente dans cette évolution, c’est la publication par les individus eux-mêmes de données qui les concernent ou concernent les autres, sur les blogs et les réseaux sociaux.
Face à ce paradoxe et ces nouveaux risques, vous opposez à "l’approche protectrice", qui vise à empêcher la collecte de certains types de données ou à en restreindre l’exploitation, une nouvelle approche. Laquelle ?
Quand on regarde de plus près ce que les gens disent sur les réseaux sociaux, ce n’est pas du tout un dévoilement passif de soi. Tout est théâtralisé, choisi, contrôlé, biaisé… Les internautes projettent une image en cherchant un résultat particulier. C’est une motivation à agir qui correspond à 200 ans de mouvement vers l’individualisation et la construction de soi. Si les individus ne se protègent pas de la manière que l’on attend d’eux, c’est peut-être que dans une optique de comparaison risques / bénéfices, la motivation d’avoir une vie publique, de rejoindre une communauté ou encore de se faciliter la vie est plus forte que la protection de sa vie privée. Notre but n’est pas de dire que les dispositifs de protection de la vie privée sont mauvais, mais de les rendre plus efficaces en étant plus réalistes.
Par exemple ?
On voit bien que les campagnes sur les dangers d’internet, ou l’enseignement à l’école sur comment se protéger sur Facebook ne sont pas efficaces. Ne vaut-il pas mieux apprendre comment se présenter ? Et si on remplaçait le droit d’accès et de rectification, par exemple, qui n’est pas utilisé, par un droit d’accès et de récupération de ses données ? Cela pourrait nous permettre d’être des consommateurs plus avisés, de produire des CV plus intéressants, de découvrir des choses sur nous-mêmes !
Eduquer les internautes, dès l’école, ne suffit pas ?
Les professeurs ne sont pas formés, et les enfants ont appris seuls à jouer avec Facebook depuis longtemps. C’est un peu comme pour l’éducation sexuelle : ce n’est pas que des dangers ! Si on leur apprenait plutôt à chercher comment s’exprimer ou se présenter sur Facebook, l’objectif serait plus excitant tout en comprenant des notions de protection. L’idée que nous défendons, c’est que si la vie privée était jusqu’à présent l’endroit impénétrable ou le village gaulois, il faut désormais la concevoir comme une tête de pont. La vie privée, c’est ce qui prépare à la vie publique.
Les institutions ont-elles cependant encore les moyens de protéger les individus ?
L’action publique doit continuer à édicter des règles, mais aussi donner la capacité aux gens de se protéger. Les édifices de protection sont aujourd’hui débordés de toute part. Ce qui ne les invalide pas, mais si les individus ne participent pas plus activement, ce n’est pas possible. En outre, l’Etat est plutôt dans une tendance assez "ficheuse". Ce sont les mêmes qui font le fichier Edvige et la révision de la loi informatique et libertés. Essayons donc d’organiser une plus grande symétrie entre les pouvoirs.
Par quels "outillages techniques" cela passe-t-il ?
Il va falloir les inventer. Plusieurs pistes sont intéressantes. Les outils d’obfuscation, par exemple : ce sont des plug-ins qui noient les données personnelles sous un flot de données aléatoires pour les rendre inexploitables. L’hétéronyme : il s’agit d’une sorte de pseudonyme riche, qui permet de gérer une autre personnalité sur le web, qui se construit une réputation, vit sur plusieurs espaces, et reste distincte de son identité civile. On pourrait imaginer qu’il soit protégé. L’e-portfolio : ce à quoi pourrait ressembler le CV dans 10 ans, qui rassemble les preuves de compétences que l’on pourrait agencer différemment selon ses interlocuteurs. Ces concepts forment un vrai courant de recherche aujourd’hui. Il y a aussi le VRM pour vendor relationship management : l’équivalent du CRM, mais pour le consommateur. Pourquoi ne pourrait-il pas gérer ses relations avec ses fournisseurs, pour comparer mieux, les mettre en concurrence… Cet outil créerait une symétrie qui améliorerait la transparence et le fonctionnement du marché.
N’est-ce pas un peu utopique ?
Honnêtement, je ne pense pas. Toutes ces choses existent déjà à titre expérimental.
Quel regard portez-vous sur le concept du droit à l’oubli ?
Cette idée que l’information ne peut pas être purement permanente est un vrai sujet, mais elle va à l’encontre d’autres aspirations importantes : le devoir de mémoire, le fait qu’il ne soit pas souhaitable de voir disparaître certaines informations. Comment faire ? Je pense que l’on n’arrivera pas à une vraie disparition, mais qu’il est possible de créer du doute sur la valeur d’informations anciennes: en créant des trous, en rendant des informations difficiles à interpréter… tout en continuant à imposer des règles par défaut sur la conservation des données. Les travaux sur la mémoire ont montré qu’un souvenir est toujours une réécriture. L’oubli fait partie de la mémoire et de la construction de soi. On peut par exemple imaginer des lifelogs – ce sont des enregistreurs de vie – qui reconstruiraient du doute pour donner un sens. Il y a des chercheurs chez Nokia, notamment, qui ont développé la notion d’oubli sélectif, programmable dans des systèmes informatiques de mémoire.