Atteintes à la vie privée : l'horreur que nous prépare l'essor de l'Internet des choses

Atlantico : "L'internet des objets" permet de connecter la plupart des ustensiles du quotidien (maisons, frigidaires, montres...) et se veut comme une nouvelle révolution du secteur numérique. Si l'on peut se féliciter d'un tel progrès technologique, n'en oublie-t-on pas de se poser des questions déterminantes sur la plan de la protection des données personnelles ?

Fabrice Epelboin : Trois questions, en pratique, passent totalement au second plan. La première est d’ordre technique : la sécurité informatique. Avec la propagation de l’informatique à tout ce qui nous entoure, la sécurité informatique change de dimension et mérite d’être repensée de fond en comble. Un effort global doit accompagner l’arrivée de l’internet des objets, car si la problématique de la sécurité informatique arrive après coup comme un complément tardif, il y a de bonne chance qu’elle reste en retard.

La seconde question est liée à la vie privée. Avec l’internet des objet, nous allons émettre une quantité invraisemblable de données directement liées à notre intimité, et alimenter ce que l’on nomme pudiquement la “Big Data”. Les dérives sont infinies, d'autant plus vaste qu’il nous est impossible d’entrevoir ce que l’on pourra faire demain de ces données. Pour vous en donner une idée, la meilleure illustration que je connaisse est un outil que nous utilisons tous : Google Translate.

Google Translate est le traducteur automatique le plus abouti aujourd’hui. Il me permet de surfer sur l’Internet chinois en comprenant ce qu’il s’y passe sans parler un mot de mandarin. C’est quelque chose d’assez fantastique. Si l’on regarde de près la façon dont cela fonctionne, c’est à la fois fascinant et terrifiant. Après de nombreux essais - tel que l'ancêtre “Babel Fish” qui modélisait la langue et la grammaire sous forme d’algorithmes afin d’automatiser la traduction, Google a pris une approche radicalement différente : en se basant sur une énorme quantité de traductions déjà mise en ligne (en grande partie par les instances européennes), il leur a appliqué une approche statistique pour aboutir à un moteur de traduction. Il n’y a pas, derrière Google Translate, la moindre approche issue du savoir-faire d’un linguiste, uniquement une approche statistique. Et ça marche. Accessoirement, pour revenir à notre sujet, cela montre à quel point la mise a disposition de quantités énormes de données peut radicalement changer la donne et faire apparaitre des démarches qu’on pensaient invraismeblables. Qui aurait pu imaginer il y a vingt ans qu’on pourrait traduire automatiquement un texte d’une langue à l’autre en utilisant cet outil mathématique un poil rébarbatif qu’est la statistique ? Personne. Que pourra-t-on faire demain avec les données issues de votre grille pain connecté ? Personne ne le sait, et le moins que l’on puisse dire c’est que la régulation est déficiente, et que ceux qui sont censés l’imaginer sont non seulement des incultes en matière de technologie, mais qu’ils sont les premiers à violer la loi en toute impunité.

Ce qui nous amène sur le troisième point qui pose question quant à l’internet des objets : les plus grands pirates informatiques s’avèrent - à la lumière de l’affaire Snowden - être les Etats démocratiques qui nous gouvernent, et là dessus, le silence des conséquences de l’affaire Snowden sur la façon d’aborder l’internet des objet est plus que préoccupant. Rappelons tout de même que les machines Dell (et d’autres) que vous commandez en ligne passent par les locaux de la NSA avant d’arriver chez vous, et qu’on y implante divers mouchards destinés à vous surveiller. Comment imaginer un instant qu’il en sera autrement avec l’internet des objets ?

Multiplier les terminaux connectés revient-il finalement à multiplier les "mouchards" de notre vie privée ?

En l’état, oui. Mais là encore, le soucis n’est pas tant d’avoir des mouchards chez soi - après tout, mon frigo ne va pas vous apprendre grand chose (ou pas) - que de ne pas être en mesure d’appréhender intellectuellement le champ des possibles ouvert par les données mises à disposition par l’internet des objets. Combiné avec un personnel politique en charge du législatif dont l’incompétence en matière de technologies dépasse l’entendement, et des Etat - l’executif - dont la violation permanente de la vie privée des citoyens est avérée, la situation est plus que préoccupante. 

A titre personnel, et malgré une passion établie depuis longtemps pour tout ce qui relève du gadget technologique, l’Internet des objets est pour moi parfaitement invraisemblable en l’état, pour la bonne raison que je suis incapable de comprendre comment cela pourra être utilisé contre moi. Or, s’il est une chose que l’on perçoit parfaitement désormais, c’est que tout ce que vous direz pourra être retenu contre vous, et par ‘dire’, on comprend aussi bien ce que vous aurez pu publier ça ou là, la géolocalisation de votre téléphone à un moment donné, les résultats issue de votre programme personnel de “quantify self”, ou ce que raconte votre frigo connecté.

Dans la société panoptique qui s’annonce, il apparait de plus en plus raisonnable de minimiser les traces électroniques que l’on laisse, et donc de faire l’impasse sur l’internet des objets tel qu’il est proposé aujourd’hui, c’est à dire sans la moindre garanti d’anonymat et sans même l’option de rendre anonyme leur propriétaire. Il y a besoin d’une approche “privacy by design” pour que l’internet des objet soit adapté au monde dans lequel on vit, pour qu’il ne puisse pas être retourné contre nous tôt ou tard.

Le développement de ces dispositifs dans des lieux "stratégiques" (hôpitaux, centrales nucléaires, bases militaires...) ne soulève-t-il pas par ailleurs d'importants défis de sécurité ? La cyber-protection n'est-elle pas faillible par définition ?

Ce développement n’est pas récent, cela fait un bout de temps que le monde de l’industrie au sens large est de plein pied dans ce que l’on vulgarise aujourd’hui sous le terme d’Internet des objets, notamment à travers le réseau Scada, et cela fait un moment que cela pose d’importants problème de sécurité. Stuxnet, le virus informatique conçu vraisemblablement par les Etats-Unis pour faire exploser une installation nucléaire iranienne en est une bonne illustration. Le “défi de sécurité” est relatif. S’il s’agit de se protéger contre des criminels, c’est un défi envisageable, mais s’il s’agit de se protéger d’un Etat - le sien ou un autre - c’est perdu d’avance.

Là encore, il est presque impossible d’appréhender les conséquences que cela aura demain, même si, parfois, Hollywood nous laisse entrevoir des pistes intéressantes. Dans Homeland, le pacemaker d’un homme est désactivé car il est connecté. Dans Almost Human, un marchand d’organes artificiels mensualise les paiements de ses clients et désactive à distance les organes vitaux de ceux qui ne s'acquittent pas de leur dette.

On peut tenter de se rassurer en se disant qu’en l’état, ceci n’est pas légal, qu’une compagnie d’assurance ne pourrait, à l’heure actuelle, exiger l’implantation d’une puce monitorant votre alimentation et la façon dont vous prenez soin de vous en échange d’une mutuelle, mais la législation est appelée à changer, et le poid financier de tels acteurs économique est tel que le législateur sera incapable de résister à leurs exigences futures. Qui aurait pu imaginer à la fin du XXe siècle que l’Etat, dix ans plus tard, scruterait et enregistrerait le moindre de vos échanges, et ce à l’échelle d’une population toute entière ? Orwell. Une bonne raison pour prendre Homeland et Almost Human au sérieux, non ?

Peut-on en conséquence imaginer des régulations intelligentes qui ne viennent pas dans le même temps freiner l'innovation ?

Pour mettre en place une régulation intelligente, il faut un législateur intelligent. Cette évidence devrait répondre à la question. Les députés en mesure d’appréhender intellectuellement cette problématique se comptent sur les doigts de la main. Une main qui s’est fait amputer récemment de quelques doigts, quand ceux qui font partie du camp socialiste - tel Christian Paul - ont voté l’article 20 de la Loi de Programmation Militaire, dénoncée de façon unanime par les spécialistes du sujet - dont l’ancien patron du Conseil National du Numérique - comme liberticide. Au vu de l'ignorance crasse qui prédomine au sein du personnel politique quant aux technologies et de la corruption généralisée du système face aux lobbies, il est impensable d’obtenir une régulation sérieuse.

Pour être parfaitement honnête, même sans ces deux obstacles, cela s’avèrerait très complexe, du fait du saut dans l’inconnu que représente le champ des possibles ouvert par un monde où les données personnelles sont produites en continu. La seule réponse qui puisse convenir serait d’imposer une transparence totale quand à la façon dont fonctionnent les dispositifs traitant et produisant de telles données, afin de laisser à la société civile - en particulier aux plus compétents, en l'occurrence aux hackers - le soin de lancer des alertes quand ils détectent quelque chose d’anormal. En doublant cela de sanctions particulièrement lourdes en cas d’abus, on pourrait entrevoir une amorce de solution. J’ai peur que cela ne soit pas près d’arriver, personne dans le monde de la politique ou presque n’est adepte de la transparence.