Recherche

Comprendre l’importance des données personnelles dans un monde interconnecté

| Stéphane Koch

Une des conséquences majeures de la transformation numérique de notre société est le volume exponentiel de données générées par la dématérialisation des services et des échanges. Dès lors, il est devenu indispensable de comprendre la manière dont nos périphériques informatiques et/ou les services en ligne que l’on utilise, produisent et échanges des données, et qu’elle est la part de données personnelles parmi celles-ci. Tout comme il est important de saisir l’impact sur nos données personnelles de la mise en ligne des services existants jusqu’à lors dans le monde physique. La société de l’information évolue, il est important que nous « évoluions » avec elle afin que nous soyons à même de prendre des décisions conscientes sur la création et l’utilisation des données qui nous concernent. La notion de citoyenneté s’étend aujourd’hui au monde numérique, il s’agit d’un seul et même espace de société dont une partie est dématérialisée.

Du monde physique au monde numérique : comprendre le quotidien des données

Un Smartphone contient entre 14 et 20 capteurs, que l’on ait ce périphérique en main ou que l’on bouge, chacun de nos mouvements est transformé en un ensemble de données. Même si le Smartphone est posé sur une table, certains des capteurs qu’il intègre resteront actifs et produiront des données. Même l’absence de mouvement est une donnée. L’utilisation du numérique pour nos actions physiques crée de nouvelles données qui ne sont pas directement en corrélation avec la même action sans l’apport de la technologie. Par exemple, les systèmes de paiements sans contact ou par carte, en plus des indications sur la personne, les achats et l’heure à laquelle ils ont été effectués, nous localisent plus précisément qu’un GPS grâce à l’indication de l’emplacement physique du terminal de paiement. Si je prends un billet de train sous sa forme physique à un distributeur dans une gare et que je paie avec de l’argent liquide, aucune information personnelle n’aura été créée me concernant et je pourrai ensuite voyager du point a au point b en montrant juste ce « bout de papier imprimé ». Il en sera tout autre si j’achète le même trajet à travers l’application Mobile CFF. Pour commencer, elle est connectée à internet et échange des données par ce canal. Non seulement je serai identifié lors de l’achat du billet par le système de paiement utilisé, mais le billet que j’aurai acheté contiendra aussi mes données personnelles. L’application, quant à elle, demande d’accéder au capteur d’activité physique de mon smartphone, à mes fichiers, ainsi qu’à la géolocalisation. Mobile CFF intègre aussi des traceurs publicitaires (que l’on peut désactiver) et reçoit des informations de la part d’applications tierces installées sur mon Smartphone, tel que celles provenant de certains services Google. Quand, lors de mon voyage, je présenterai mon billet au contrôleur, en vérifiant la validité de mon titre de transport, il accédera lui aussi à mon identité (en prenant un billet électronique, j’ai aussi l’obligation de porter une pièce justificative de mon identité). Donc, en résumé, d’un côté un bout de papier imprimé ne révélant rien de ma personne, et de l’autre un système complexe qui dit beaucoup de moi, qui sait ou je suis, et se souvient de moi.

Ces données de profilage constituent des informations à caractère sociodémographique, biométriques, de géopositionnement, et comportementales, entre autres.

Stéphane Koch

Quel cadre légal pour nos données personnelles ?

La Suisse a sa propre loi sur la protection des données, la loi fédérale sur la Protection des Données (LPD), dont la révision récente (nLPD) devrait entrer en vigueur le 1er septembre 2023. Néanmoins, pour ce qui touche aux services en ligne basés hors des frontières suisses, dont les sites marchands, les réseaux sociaux, ou encore les objets connectés, c’est le Règlement général européen sur la protection des données (RGPD) qui s’applique dans la plupart des cas. Sur ce point, la Suisse a été intégrée à une région européenne qui définit les pays qui bénéficient de la protection offerte par le RGPD.

Par exemple, au niveau mondial, l’âge légal (défini par les prestataires de services) pour pouvoir s’inscrire sur un service proposé par META/Facebook, TikTok ou Snapchat, est de 13 ans. Mais le RGPD, quant à lui, impose un âge minimum de 16 ans - qui correspond à l’âge à partir duquel une personne peut consentir au partage de ses données personnelles, néanmoins, selon les conditions d’utilisations du service concerné, un accord parental peut être nécessaire jusqu’à la majorité, 18 ans. Il existe néanmoins une possibilité pour un enfant dès 13 ans de s’inscrire sur une plateforme sociale si un parent ou un représentant légal en donne l’autorisation. Une autre forme d’exception concerne l’application suisse de messagerie sécurisée Threema, l’âge légal tel que décrit précédemment n’est requis que dans le cas où une donnée personnelle telle qu’un numéro de téléphone et/ou une adresse email est associée au compte. Dans le cas d'une utilisation anonyme, aucun consentement parental n'est requis. De plus Threema ne collecte pas les données personnelles de ses utilisateurs.

Le RGPD donne aux personnes les droits suivants (la révision de la LPD, la nLPD donnera des droits similaires) :

  • Droit d'être informé (art. 14).
  • Droit d'accès de la personne concernée (art. 15).
  • Droit de rectification (art. 16).
  • Droit à l'effacement / droit à l’oubli (art. 17).
  • Droit à la limitation du traitement (art. 18).
  • Droit à la portabilité des données (art. 20).
  • Droit d'opposition (art. 21).
  • Droits liés à la prise de décision automatisée, y compris le profilage (art. 22).
  • Droit de retirer le consentement (art. 7, paragr. 3).

À ce titre, la loi fédérale sur la protection des données permet à toute personne de savoir quelles données la concernant sont enregistrées, et peut – si nécessaire – les faire effacer ou rectifier.

Si c’est gratuit, c’est toi le produit ?

C’est ce que l’on entend dire généralement, mais ce n’est pas, ou plutôt ce n’est plus aussi simple que ça… Par exemple, ce mantra ne pourrait pas s’impliquer à l’application de messagerie sécurisée Signal ou encore moins à l’encyclopédie Wikipédia. Dans les deux cas, ces services sont gratuits, néanmoins leur modèle « économique » ne repose pas sur l’exploitation et la monétisation de nos données personnelles, mais principalement sur un système ouvert et des dons, mais aussi sur la contribution des utilisateurs à l’enrichissement de l’encyclopédie en ce qui concerne Wikipédia. Il en va de même si on paie pour le service en ligne ou le périphérique connecté que l’on va utiliser. Le fait de payer n’amène aucune garantie que nos données personnelles ne soient pas exploitées. Que l’on dépense plusieurs centaines de francs pour une télévision intelligente ou pour une montre connectée, ne changera rien au fait que les fabricants ou les prestataires de services (comme les applications que vous avez dans votre SmartTV, telle que Netflix ou Disney, ou encore votre box de télévision) vont exploiter et monétiser vos données personnelles. Il s’agit donc d’être vigilant et partir du principe que dès qu’une connexion à internet, directe ou indirecte, existe, le risque que l’on exploite vos données personnelles existe aussi. Dans le domaine du numérique, toute forme d’interaction avec un objet génère de la donnée. Si vous parlez avec SIRI ou Google Assistant, vous allez immanquablement aussi créer des flux de données qui seront exploités par ces entreprises. Il est donc important d’évaluer en amont le comportement vis-vis de nos données des services que l’on utilise. Il ne faut pas hésiter à questionner le vendeur, le fabricant ou le prestataire de service, sur l’accès ou l’utilisation de vos données. Les moteurs de recherches peuvent aussi fournir des réponses à vos questions. Et ceci, 24h/24, sans jamais râler.

«Quantified Self» et objets connectés : ont fait de nous de véritables usines à données 

Le «Quantified Self» ou « mesure de soi » se définit, selon la CNIL, l’autorité de surveillance française, comme « un ensemble de nouvelles pratiques qui consistent à analyser son activité physique ou son mode de vie : poids, tension, calories consommées, nombre de pas dans la journée, rythme cardiaque, etc. ». Différents périphériques entrent en action dans ce type de mesure tels que bracelets, podomètres, montres ou applications mobiles connectées aux capteurs d'un smartphone, balance connectée. Dans la majorité des cas ces données – de santé - créées par ces objets connectés sont transmises au fabricant qui va les monétiser en en faisant , mais elles sont aussi fréquemment partagées sur les réseaux sociaux par leurs utilisateurs. Pour la CNIL, le "Quantified self" pose des problèmes de sécurité et de confidentialité des données.

Le modèle économique de la monétisation de nos données des plateformes sociales

Pour comprendre la valeur intrinsèque de nos données, il suffit de regarder le chiffre d’affaires de META (qui regroupe Facebook, Instagram, Messenger, WhatsApp, Oculus/Meta Quest et NOVI). En 2021 l’entre prise à réussi à monétiser nos données à hauteur de 118 milliards de dollars et un résultat net de 39 milliards. Ces chiffres sont intéressants non seulement pour comprendre la valeur de nos données personnelles. Ça démontre premièrement que sans nos données META ne pourrait pas exister – ce qui soulève une question presque philosophique, à savoir si nous, nous pourrions encore « exister » sans META ? Deuxièmement, ça permet aussi de réaliser que ces services ne sont non seulement pas « gratuits », mais que, paradoxalement, ils coûtent aussi très cher à l’entreprise. Si on soustrait le résultat net du chiffre d’affaires, on obtient env. 78 milliards de dollars, ce qui donne une idée des coûts d’exploitation de la plateforme, qui emploie plus de 100'000 personnes à travers le monde. Ce type de modèle économique est inhérent à la majorité des services non payants.

Comment nos données sont transformées en argent ?

META collecte vos données personnelles (tous les champs que vous renseignez, la liste de vos contacts inscrits dans le carnet d’adresses de votre mobile si vous l’avez consciemment ou non partagé, ainsi que ce que vos amis partagent sur vous) et vos interactions sociales et celles que vous avez avec les contenus, l’expression de vos centres d’intérêt. Les cookies liés à la fréquentation de sites partenaires des services proposés par META vont aussi venir alimenter. Ces données de profilage constituent des informations à caractère sociodémographique, biométriques, de géopositionnement, et comportementales, entre autres. META ne vend pas directement nos données, mais une forme d’accès à celles-ci. Elles vont être intégrées au sein d’un outil, une sorte de base de données qui peut être consultée par tout un chacun et permettre d’identifier parmi cette masse de données, des segments ou groupes de personnes correspondant aux différents critères présents au sein des données collectées. Il est donc possible de payer META pour faire apparaître (sponsoriser) une publication ou une publicité en se basant sur le genre, l’âge, le lieu, la langue, et les centres d’intérêt. Le client a aussi la possibilité de définir l’endroit où la publication ou la publicité va apparaître, au sein de services proposés par META (Facebook, Instagram, Messenger) ou sur des sites web partenaires. De plus, META permet aux sites web qui le désirent d’installer dans le code de leur page un mouchard nommé PIXEL pour suivre à la trace les internautes. Ce mouchard invisible crée une passerelle entre les sites qui l’utilisent et les services de META. C’est pour cette raison que certaines publicités apparaissent sur des sites web tiers alors qu’on a vu le même article auparavant sur Instagram ou Facebook, et vice versa (cette démarche se nomme le reciblage publicitaire ou retargeting. Facebook indique « Les cookies nous permettent de présenter des publicités à des personnes qui ont déjà consulté le site web d’une entreprise ou acheté ses produits ou utilisé ses applications, et pour recommander des produits et des services sur la base de cette activité (…) »). Une fois que le client aura sélectionné les critères voulus pour lancer sa campagne, il sera informé du nombre de personnes qu’il pourrait atteindre (le contenu sponsorisé s’affichera activement sur les fils d’actualité des personnes touchées par le ciblage du client), et une fois sa campagne finie, il aura accès à des statistiques sur la manière dont elle aura touché les publics visés. Il faut aussi être conscient qu’en plus de leur exploitation commerciale ou gouvernementale, ces données vont venir alimenter des outils de «Machine «Learning» et d’intelligence artificielle(1).

Comme on peut le constater, à l’heure actuelle, les données personnelles sont véritable un enjeux de société, que ça soit en termes de protection de la sphère privée, ou au niveau démocratique. Nos capacités à comprendre la valeur de nos données et les différentes manières dont elles peuvent être utilisée permettra de faire des choix conscients sur leur traitement dans le futur.

***
Une suite de cet article fournira des conseils et des pistes pour pouvoir gérer au mieux ses données personnelles, et respectivement, ses paramètres de confidentialité.


(1) Le Machine Learning est une technologie d’intelligence artificielle permettant aux ordinateurs d’apprendre sans avoir été programmés explicitement à cet effet. Pour apprendre et se développer, les ordinateurs ont toutefois besoin de données à analyser et sur lesquelles s’entraîner. De fait, le Big Data est l’essence du Machine Learning, et c’est la technologie qui permet d’exploiter pleinement le potentiel du Big Data.
En savoir plus : https://www.lebigdata.fr/machine-learning-et-big-data

Spécialiste des questions liées au numérique, formateur et expert pour plusieurs hautes écoles et établissements du secondaire dans les domaines, entre autres, de l'éducation à la littératie et à la citoyenneté numérique. Stéphane Koch accompagne les enseignants et les parents afin de les aider à mieux maîtriser les plateformes numériques et intégrer leur caractère pédagogique.