Facebook et Google ne sont pas les seuls à traquer vos clics et vos données… les sites publics le font aussi

Atlantico : En plein lancement du RGPD, cette information est-elle une réelle surprise ? Qui est responsable de l'autorisation de cette collecte massive de données personnelles ?

Bernard Benhamou :  Il serait difficile de pointer du doigt tel ou tel. Ce que l’on peut dire, c’est qu’il y a un manque général de stratégie vis-à-vis de cette situation qui exige maintenant une coordination stratégique au plus haut niveau de l’État. Il doit être question d’une stratégie d’ensemble vis-à-vis d’acteurs tels que les GAFA, mais en effet aussi vis-à-vis de beaucoup d’autres sociétés qui sont maintenant des sous-traitants des GAFA pour la collecte de ces informations. Déjà, lors de la mise en place de l’impôt à la source, la vidéo de présentation était sur Youtube… Il nous faut sortir de l’âge de l’insouciance pour rentrer dans celui de la lucidité vis-à-vis des données générées par l’administration électronique dont on sait à quel point elles sont sensibles à tous les niveaux. Elles sont « juridiquement » sensibles puisqu’elles peuvent souvent être reliées aux convictions des personnes ainsi qu’à leur état de santé etc. Mais aussi au-delà, elles sont devenues encore plus sensibles comme on a pu le voir il y a tout juste un an avec le scandale Cambridge Analytica, ces données personnelles permettent de subvertir ou de miner de l’intérieur les démocraties. C’est une obligation pour nous tous Européens et particulièrement pour nous Français d’y réfléchir pour concevoir de nouvelles formes de régulation. 

Ce n’est donc pas une surprise ?

Non pas vraiment. On pouvait cependant espérer que la chose eut été un peu mieux prise en compte auparavant, et apparemment cela n’a pas été le cas. Ce qu’il manque en France, c’est ce qui a existé du temps d’Obama, un coordinateur stratégique au niveau fédéral, un (Chief Technical Officer ou CTO), qui coordonne l’action technologique des différents ministères et des différentes administrations en particulier vis-à-vis des GAFA. Ce qui est sûr c’est qu’il faudra à un moment durcir les législations. Le règlement européen (RGPD) est un pas dans cette direction. Il faudra aller manifestement plus loin.

On commence à voir que les officines qui collectent des données, les «data brokers», craignent d’être en conflit avec le RGPD et à terme de voir leur modèle économique remis en cause. On peut se demander si ces grandes officines pourront rester légales à terme, du moins dans leurs formes actuelles, au profit d’un système où l’individu donnera son autorisation pour un type précis d’utilisation publicitaire et pas au-delà, et dans le cas inverse il ne pourrait plus y avoir de collecte. Ces gigantesques collecteurs de données que sont les data brokers, que le Financial Time appelait astucieusement les « Étoiles de la Mort de la vie privée », dont Oracle, Acxiom ou Experian et quelques autres devront être remis en question car l’usage qu’ils font de nos données est à la fois immense et incontrôlable.

Quelles peuvent être les implications de ce siphonage de données ? Le spectre de Cambridge Analytica fait-il de nouveau surface ?

Cambridge Analytica est un exemple d’utilisation illicite des données des utilisateurs dans la sphère politique… mais de nouveaux exemples de mésusages des données à grande échelle, sont découverts tous les jours. Cambridge Analytica a permis au grand public de prendre conscience de ces questions, mais rien n’est réglé à l’heure actuelle. Et dans bien d’autres domaines, on observe des utilisations sauvages de la part de compagnies qui veulent estimer les risques dans le domaine de l’assurance ou cibler des usagers dans des domaines de plus en plus précis. À partir des données de consommation, de visites de sites institutionnels ou des données générés dans des réseaux sociaux, on est capable de remonter jusqu’aux opinions philosophiques, aux orientations sexuelles aux opinions politiques et voire à l’état de santé d’une personne. Ce que révélait votre confrère du Financial Time dans un article récent, c’est qu’en consultant sa fiche auprès d’un data broker, il a découvert qu’il était considéré comme à risque pour les maladies du rein. Alors qu’il ne le savait pas lui-même… Il faut bien comprendre que les risques de la collecte de données n’ont rien à voir avec ce qu’on a connu dans le passé, du fait de la puissance des logiciels de traitement de ces données et les capacités de prévision des systèmes d’intelligence artificielle. Ils sont non seulement capables de prévoir les comportements d’une personne mais aussi d’aider à les façonner. Ainsi le fait de découvrir que la sphère publique en France est loin d’être exemplaire dans ce domaine est une chose à laquelle il faudra remédier. C’est en effet un mauvais message envoyé à l’ensemble de l’écosystème technologique.

L'éclairage apporté sur les mastodontes de la collecte de données personnelles que sont Google et Facebook a-t-il masqué l'implication d'entreprises publicitaires plus modestes ? 

Non, je ne suis pas d’accord avec ça. Il y a bien une galaxie de structures autour des GAFA, mais ce sont les GAFA qui orchestrent l’ensemble de cet écosystème. Les GAFA en sont les grands architectes, du fait de leur puissance et de leur capacité d’organisation de la sphère publicitaire en ligne, c’est vers eux en priorité qu’il faut se tourner pour limiter ces excès. Et après effectivement voir dans quelle mesure certains types d’acteurs pourront être régulés. C’est là que le métier de data broker pourra être remis en cause. Il deviendrait impossible à gérer au vu des contraintes à intégrer dans leurs activités. Contrairement à ce que disent certains, le micro targeting publicitaire n’est pas une fatalité et pourra être remis en cause en raison de ses conséquences sur les libertés publiques et sur les démocraties.

Comment le particulier peut-il se prémunir de ce fichage ?

Si l’usage des réseaux virtuels privés (ou VPN) permet de modifier l’adresse IP ils n’empêchent pas ces sociétés d’acquérir des données lors de la visite des sites web. Votre compte Facebook trace votre identité, quelle que soit l’adresse IP. On peut aussi détecter les types de traceurs légaux qui sont implantés à l’intérieur de certains sites. Mais on accuse aussi les sociétés qui conçoivent ces scripts d’en injecter d’autres à l’insu même de la plateforme sur lequel ils opèrent. Là, on rentre dans des pratiques délictueuses qui devront être beaucoup plus sévèrement sanctionnées à l’avenir…

L’utilisateur doit aussi comprendre qu’accepter systématiquement les CGU (conditions générales d’utilisation) n’est pas une fatalité. Ces textes que personne ne lit (et à raison, une étude a permis de calculer qui pour un utilisateur la lecture intégrale de ces textes représenterait 70 jours de lecture par an !). Refuser les cookies en général ne coupe pas l’accès aux sites. Il faut donc prendre l’habitude de répondre systématiquement non. En plus de mieux configurer les paramètres de management de la vie privée sur l’ensemble des plateformes comme Google, Facebook, nous devons apprendre à limiter notre empreinte informationnelle. Mais au-delà de l’usager consommateur, c’est aussi le citoyen qui doit désormais exiger de ses représentants qu’ils adoptent une attitude plus stricte vis-à-vis des plateformes lorsqu’il est question de protéger nos données personnelles.