GDPR : votre vie privée à nouveau dans vos mains, ou pas ?

« Avez-vous tapé dans un moteur de recherche : « symptômes de la gonorrhée » ou « comment déclarer une faillite » ? Ce parcours de navigation existe peut-être encore, rattaché à votre nom, à l’adresse IP de votre ordinateur, ou encore à son identifiant unique. Grâce à lui, les entreprises peuvent aisément établir des listes de personnes jugées « névrosées » ou « en manque » », pouvait-on lire dans le Monde Diplomatique du 1er mai dernier.

Quand des citoyens réclament leur dossier de données à Facebook ou Google, ils se rendent souvent compte, à leur grand étonnement, des importantes quantités de vidéos, de conversations personnelles et de photos qu'ils pensaient avoir effacées ont néanmoins été conservées sur les serveurs de ces grandes entreprises.

« Sur les téléphones Android, le réseau social captait discrètement les informations liées à leurs appels. Des dossiers considérables révèlent que les réseaux sociaux détiennent des détails intimes sur la vie de leurs utilisateurs. À mesure que les capteurs des téléphones portables s’améliorent, les géants du Web sont toujours davantage tentés de collecter encore plus de données, jusqu’à obtenir un portrait complet des utilisateurs, qui met à nu leurs vulnérabilités, leurs désirs, leurs faiblesses, voire leurs crimes ».¹

La chasse à vos données personnelles

Depuis quelques années, avec le développement des médias sociaux et de toutes sortes de technologies nouvelles, la chasse au gros gibier des données - les « big data » - par les multinationales est ouverte. Facebook, Google, Amazon... Toutes recherchent un maximum d’informations possibles – les « data » ou données – sur vous-même ainsi que les personnes de votre entourage. Ces informations valent de l'argent car, en les analysant, les entreprises apprennent comment s'y prendre au mieux pour vous vendre leurs produits. Plus elles possèdent de données, plus elles parviennent à vous inciter à acheter un produit et donc à engranger davantage de profit. Si, sur le site d'une boutique en ligne, vous cherchez de nouvelles chaussures, soyez assuré que, très vite après cette visite, vous découvrirez de la publicité pour cette même paire de chaussures en vous rendant sur d'autres sites.

« Sur base de l'histoire de votre carte de crédit et d'autres éléments de votre mode de vie, il y a de fortes chances que nous puissions déterminer si vous souffrez ou pas d'une maladie qui nous intéresse », a expliqué le vice-président d'une grande entreprise pharmaceutique.² Big data is big money. Le milieu des soins permet d'engendrer d'énormes bénéfices et, à l'instar d'autres produits - comme le pétrole par exemple, une chose est certaine : ceux qui l’ont en main ont beaucoup d’influence et détiennent le pouvoir économique. Pour les big data, c'est pareil. Le scandale de Cambridge Analytica qui, via une application de Facebook, utilisait les données de millions de personnes - sans qu'elles soient au courant - pour influencer les élections, montre jusqu'où peuvent aller les multinationales dans ce domaine.

Google, Amazon et consorts font des milliards de profit qu'ils réinvestissent dans la collecte de plus de données encore, afin de générer davantage de profit. Récemment, on apprenait que Facebook avait, pour le premier trimestre de cette année 2018, engrangé près de 12 milliards de dollars américains. Soit une hausse de 49 % par rapport au dernier trimestre de 2017.

Disposez-vous encore d'un contrôle ?

Que font ces multinationales de vos données ? Disposez-vous encore d'un contrôle sur elles ? Peuvent-elles vendre vos données à d'autres entreprises ? Peuvent-elles vous adresser des mails avec ce qu'elles ont à vous proposer ? 

Jusqu'à présent, les autorités ont misé sur l'autorégulation. Par conséquent, les entreprises numériques ont élaboré elles-mêmes leurs règles, leur mise en pratique et leur maintenance. Les autorités estimaient que ces entreprises « feraient elles-mêmes en sorte que la vie privée de leurs usagers soit garantie ». Dans la pratique, il s'est avéré que c'était évidemment une illusion, comme l’a clairement montré le scandale de Cambridge Analytica.

Sous la pression de la population, qui en a eu assez de ces scandales, l'Union européenne n'a pu faire autrement que d’entreprendre de véritables avancées dans la protection de la vie privée. Des mouvements se sont organisés dans toute l'Europe comme, par exemple, la résistance contre la directive sur la rétention des données, imposée par les directives européennes en vue d'en faire une loi obligeant les entreprises de télécoms et les fournisseurs d'Internet à conserver au minimum 6 mois et au maximum 24 mois toutes les données de communication qui transitent par téléphone ou par Internet. C'est cette résistance qui se trouve à la base des nouvelles règles reprises dans la GDPR.

Cependant, une autre raison est également intervenue. Dans des pays comme les États-Unis et la Chine, la protection de la vie privée est bien moins sévère. Vu le manque de règles uniformes au sein de l'Union européenne, par exemple, Facebook – qui est une entreprise américaine - a pu, quasiment sans limitation, collecter et utiliser toutes les données des consommateurs européens. Les entreprises européennes n'ont pas du tout digéré que « leurs » consommateurs aient été détournés à leur nez et à leur barbe par cette utilisation extrême des big data. Avec la GDPR, qui est également d'application pour le traitement des données par des entreprises étrangères, l'Europe entend donc réglementer cette chasse à la collecte de données et, de la sorte, rectifier le « désavantage concurrentiel » des entreprises européennes.

La GDPR protège-t-elle réellement votre vie privée ? Trois exceptions...

Avec la GDPR, le stockage de données personnelles est fortement réglementé. Une entreprise, organisation ou association ne peut plus collecter vos données sans votre accord ou sur base contractuelle ou légale. En tant que consommateur, vous possédez davantage de droits ; la Commission pour la protection de la vie privée, elle, change de nom – elle devient l’Autorité de protection des données – et se voit octroyer plus de compétences et de moyens de contrôle.

Mais la question clé est celle-ci : cette ordonnance européenne va-t-elle vraiment pouvoir protéger la vie privée des citoyens ? Certes, les principes repris dans la GDPR sont corrects mais, lorsqu’on lit le texte, il s'avère que, pour bien des règles, de nombreuses exceptions sont prévues. Ainsi, en tant qu'entreprise, vous pouvez collecter et utiliser des données si votre communication a « un intérêt légitime ». L'intérêt commercial peut-il être considéré comme un intérêt légitime ? Le lobby des multinationales digitales tourne à plein régime pour interpréter cette notion dans son sens le plus large possible. Force est dès lors de constater que les nouvelles règles ne colmatent guère les brèches. Il existe donc un danger de voir que les conditions pour que les entreprises utilisent vos données ne se muent en boîte vide.

Mais il y a plus. Des éléments que vous souhaitez probablement voir rester privés sont vos activités bancaires. À ce sujet, cependant, l'Europe libérale fait la sourde oreille. Pratiquement au même moment que la GDPR, l'Europe a également introduit la directive PSD2 (Payment Services Directive 2). Cette directive européenne oblige les banques à partager les données de paiement de leurs clients. Le but est donc de donner accès à vos données bancaires à des tierces parties, les entreprises de l'e-commerce et l'industrie de la FinTech (technologie financière). De cette façon, ils peuvent proposer des produits et des services de paiement qui « collent mieux aux besoins des clients ou des titulaires de compte ». Les entreprises peuvent donc voir exactement ce que vous gagnez, ce à quoi vous dépensez votre argent et d'où vous le tirez.

Comment peut-on concilier une telle réglementation avec la protection de la vie privée par la GDPR ? C’est intolérable. Les deux directives européennes se situent au même niveau et, pourtant, la PSD2 constitue une exception à la GDPR. Ces règles de la PSD2 constituent un déni total des règles de la GDPR introduites par cette même Union européenne dans l'intérêt de ses grandes entreprises.

Naturellement, votre vie privée ne peut être violée sans votre accord, donc celui-ci vous sera bel et bien demandé. Mais, très vraisemblablement, dans un texte juridique illisible d'une centaine de pages. Vous voici prévenu.

L’espoir réside dans le fait que la grande majorité des Belges sont très frileux en ce qui concerne le partage de données financières avec des institutions non bancaires. Une enquête révèle qu’au moins 8 Belges sur 10 y sont opposés.

Une autre exception importante prévue dans la GDPR concerne les services policiers - dans le sens large du terme. Pour eux, la GDPR ne compte pas. Pourtant, le droit à la vie privée est un principe de base de la relation entre le citoyen et les autorités. En Belgique, les services de police peuvent conserver vos informations personnelles pratiquement sans être contrôlés. Cette lacune quant à la vérification et au droit de regard de ces banques de données - conservées par la police fédérale - est des plus inquiétante.

Il est également inquiétant que le directeur général de Facebook, Mark Zuckerberg, se soit montré réjoui de la GDPR. Or, tout le modèle de profit de Facebook s'appuie sur les big data et sur la façon dont les entreprises et organisations paient cette société pour générer de la publicité et utiliser les données collectées. Et, pourtant, Zuckerberg assure ne voir en la GDPR aucune menace pour ses bénéfices. Il trouvera certainement un autre moyen de vendre, à qui le souhaite, les données des quelque 2,2 milliards de profils Facebook. 

Les big data, les nouvelles technologies et leurs possibilités sociales

Pour le PTB, le droit à la vie privée est un droit fondamental. C'est la base de toutes les autres libertés politiques, votre droit à avoir un avis syndical, politique, social sans pour cela être surveillé en permanence ou suivi de près par des entreprises.

On a beaucoup écrit sur la GDPR, et à juste titre. Les nouvelles règles nous donnent à tous uniquement un peu plus de contrôle sur ce qu'il advient de nos données personnelles. Et, bien évidemment, c'est une bonne chose. Mais cela soulève aussi la question de savoir qui gère les big data et dans quels domaines elles pourraient être mieux utilisées. Car, avec les nouvelles technologies et les big data anonymisées, nous pourrions également bâtir une société digitale à caractère social. Avec ces données, on pourrait par exemple organiser les transports publics de façon plus efficiente et ainsi mieux gérer la mobilité du pays tout entier. Mais, dans ce cas, ces informations doivent être aux mains de services publics qui les utiliseront dans l'intérêt de tous, et non aux mains de quelques multinationales qui s'en serviront afin de maximiser leurs profits. Les possibilités digitales ayant pour but d’améliorer les services publics à caractère social sont énormes. Avec les nouvelles technologies, nous pouvons fonder une plateforme où chacun peut amener des propositions, en discuter et exprimer son avis à leur propos. Avec les big data, les services de police, qui ne sont pas tenus aux règles strictes de la GDPR, pourraient répertorier les grands capitaux et combattre plus efficacement la fraude fiscale. Savoir qui gère les big data et pour quelles raisons on les utilise est donc d'une importance considérable. 

Jusqu'en 1995, Internet était aux mains d'une institution publique, la National Science Foundation. Cette même année, il a été transféré vers un gestionnaire particulier. Dès lors, Internet est devenu inféodé à la réalisation de profit. Imaginez qu'Internet soit resté aux mains de la communauté et sous contrôle démocratique international !

En cette année 2018, on n'a presque plus d'autre choix que de recourir aux services d'entreprises comme Facebook et Google et, par conséquent, d'accepter leurs conditions d'utilisation. Ils sont devenus tellement importants dans notre société que nous pouvons nous poser la question de savoir s’il est vraiment logique qu'ils restent dans des mains privées. 

La GDPR est un progrès pour le consommateur. Le PTB, qui doit également satisfaire à cette GDPR, applaudit les nouvelles règles et est actuellement très occupé à y conformer sa politique en matière de vie privée (voir encadré). Mais c'est une illusion de croire qu'en tant que consommateur et citoyen vous avez désormais recouvré le contrôle total de vos données personnelles. Pour cela, trop d'exceptions ont été prévues. Bien des éléments restent encore obscurs. L'avenir montrera si nous sommes vraiment mieux protégés contre les intrusions dans notre vie privée et si nous pouvons réellement contrôler ce qu'il advient de nos données personnelles. La nouvelle Autorité de protection des données pourra-t-elle exiger et contrôler le respect des nouvelles règles par les grandes entreprises qui profitent le plus de nos données ? Interviendra-t-elle contre l'État, qui ne se montre pas toujours très regardant concernant notre vie privée ? Ou s'orientera-t-elle plutôt du côté des journalistes d'enquête critiques, des mouvements citoyens, des syndicats ou encore d'un parti comme le PTB pour lesquels la GDPR va compliquer le travail, mais représente également la possibilité d'atteindre les gens et de les organiser dans la lutte pour une société plus sociale et durable ? Wait and see...

1. Le Monde Diplomatique, 1er mai 2018 • 2. Joseph Walker, «Data mining to recruit sick people », The Wall Street Journal, New York, 17 décembre 2013, cité par le Monde diplomatique du 1er mai.
 

La nouvelle loi sur la protection de la vie privée s'applique également au PTB naturellement. Vous voulez qu'on ne se perde pas de vue ? Inscrivez-vous (à nouveau) à notre newsletter sur bienvenue.ptb.be

Article publié dans le magazine Solidaire de juillet - août 2018. Abonnement.