AVANT-PROPOS : les articles de la rubrique « Ailleurs sur le web » ne représentent pas les positions de notre tendance, mais sont publiés à titre d’information ou pour nourrir les débats d’actualités.
SOURCE : Sciences humaines
Ruée sur des applications peu respectueuses de nos données personnelles, projet de traçage sanitaire des individus : la crise actuelle ouvre la porte à des possibles dérives. Face à ce danger, la juriste Judith Rochfeld invite à la vigilance et appelle de ses vœux un débat démocratique.
Judith Rochfeld est professeure de droit privé à l’université Paris-I. Spécialiste, entre autres, du droit des données personnelles, elle a codirigé en 2019 les ouvrages Droit des données personnelles. Les spécificités du droit français au regard du RGPD (Dalloz, 2019), et Les Défis sectoriels du RGPD (LexisNexis, 2019)
Le confinement s’est accompagné d’une ruée sur les applications de partage de vidéo, de cours en ligne, de réseaux sociaux. Ce mouvement vous inquiète-t-il ?
Oui. Je constate avec crainte que les gens se précipitent sur certaines applications, en étant peu attentifs aux avantages et inconvénients de ces outils. Du fait de l’urgence, et parce que ces outils sont extraordinairement conviviaux, utiles et efficaces, beaucoup ne font pas l’effort de vérifier la politique de protection des données de ces applications. Pourtant certaines posent de nombreux problèmes. On le voit avec l’un des outils massivement téléchargé qu’est Zoom. Zoom est une application qui permet de faire des réunions ou des cours et qui est très utilisée en milieu professionnel. Or on a découvert que les données des utilisateurs avaient été transférées à d’autres acteurs comme Facebook, même dans le cas des personnes qui n’étaient pas abonnées à ce réseau social. Diverses autorités ont été saisies : aux États-Unis, des actions ont même été engagées. Zoom a modifié ses conditions générales, mais on ne sait pas ce qu’il en est de ses pratiques réelles. Par ailleurs, il faut ajouter que l’on y a découvert des failles de sécurité : des hackers peuvent s’introduire dans les ordinateurs des utilisateurs et profiter par exemple des enregistrements faits par la caméra. Or des données sensibles sont véhiculées dans nos dialogues et nos vidéos, d’autant que par la force des choses nous mélangeons actuellement les espaces privés, professionnels, sanitaires. Il existe pourtant d’autres outils qui fonctionnent comme BBB [NDLR : Big Blue Button] pour l’enseignement supérieur, avec des tchats, Jitsi, etc. Ces outils peuvent avoir quelques faiblesses de temps en temps, et ne sont pas forcément aussi faciles à utiliser que d’autres pour les échanges de groupes, mais il est discutable de ne pas s’en servir.
Le problème se pose-t-il aussi pour les mineurs ?
Oui bien sûr. Le problème de la protection des données pour les mineurs n’est d’ailleurs pas nouveau. Rappelez-vous il y a deux ans ces jouets de Noël, en l’occurrence une poupée et un robot connectés, qui collectaient les données personnelles : ils demandaient aux enfants leur adresse, que faisait leur père, à quelle heure il rentrait, etc. Et un tiers extérieur pouvait facilement prendre la main et orienter la conversation ! La Cnil est d’ailleurs intervenue et la société a été condamnée. Dans la phase actuelle, les mêmes questions se posent. De nombreux enfants sont par exemple inscrits à TikTok, et y postent vidéos, chansons, etc. alors que ce réseau social chinois n’est pas réputé pour être le plus garant en matière de protection des données personnelles.
Les logiciels utilisés pour permettre la « continuité pédagogique » dans l’enseignement primaire et secondaire posent-ils aussi problème ?
Je ne connais pas l’ensemble de ces outils. Mais certains sont de toute évidence plus protecteurs que d’autres. Je pense aux outils permettant aux enseignants de créer des espaces privés pour chaque élève, espaces protégés par un code ou un mot de passe : cela permet de sécuriser les données éducatives échangées et d’éviter qu’elles se promènent au vu et au su de tous. C’est important car celles-ci peuvent permettre un profilage des individus dans le futur et marquer le reste de leur vie, professionnelle notamment. Imaginez par exemple leur utilisation lors d’un entretien d’embauche, pour voir la vitesse d’apprentissage du candidat à tel ou tel âge.
Pensez-vous que les pouvoirs publics ou la Cnil devraient réagir plus fermement ?
Il est toujours plus facile de critiquer que d’agir. Dans l’urgence, au nom de la continuité pédagogique, chacun a fait ce qu’il pouvait, et c’est tout à fait compréhensible. Mais il est important de ne pas adopter trop rapidement une solution qui ne serait pas à la hauteur d’un point de vue éthique ou de sécurité.
Les parents peuvent-ils également veiller à protéger leurs enfants ?
Oui bien sûr ! Je rappelle qu’en France, la majorité numérique est à 15 ans. Cela veut dire qu’en deçà de cet âge, aucun enfant ne peut s’inscrire seul à un réseau social : l’application doit vérifier que le parent accompagne l’enfant dans son inscription – avec diverses méthodes possibles. Et ce dernier doit prendre le temps de choisir les paramétrages possibles, et de lire la politique de confidentialité – voir par exemple si les données sont réutilisables, lesquelles sont collectées, à qui elles sont rendues accessibles, etc.
La situation actuelle risque-t-elle d’avoir des conséquences pour l’avenir ?
En matière de numérisation des données éducatives, nous ne sommes pas en face d’une totale nouveauté : avant même l’épidémie, on avait déjà de plus en plus de données avec la numérisation des notes, des observations, des devoirs, etc. – des outils bien utiles ! La période actuelle décuple cette numérisation et va probablement contribuer à acclimater encore plus ceux qui ont accès à ces outils et ces pratiques. Elle va probablement aussi contribuer à intégrer les parents, et alimenter la réflexion sur l’enseignement à distance. Rappelons toutefois qu’un quart de la population souffre d’illitéracie numérique. En parallèle, à mes yeux, un autre enjeu concerne les données de santé. Car des propositions de traçage des individus en fonction de leur « dangerosité » potentielle — du point de vue du virus et de sa contagion — vont être faites pour sortir du confinement. La tentation sera grande de retracer leurs contacts, leur réseau, les personnes qu’ils ont croisées. Cela a été mis en place en Asie et c’est à mes yeux l’enjeu majeur actuel : va-t-on adopter une surveillance massive et si oui de quel type ?
Notre droit n’interdit-il pas une telle surveillance sanitaire des individus ?
Non pas forcément de façon aussi radicale, car notre droit autorise à se passer du consentement des personnes dans certaines circonstances, par exemple quand l’intérêt public est en jeu, ou les intérêts vitaux, ce qui sera le cas ici. Il est donc fondamental d’avoir un vrai débat démocratique, pour savoir si on l’on accepte ou non d’aller vers un traçage permanent et généralisé de la population entière pour des raisons sanitaires ; et si on y va, sous quelle forme. Fera-t-on comme à Hong Kong, avec une approche contraignante, où les individus infectés doivent avoir l’application WhatsApp et permettre la collecte d’au moins 100 points de localisation par jour ? Ou le modèle de Singapour qui est fondé sur une base volontaire, avec une communication des téléphones entre eux viale Bluetooth, pour remonter au croisement des personnes ? Ces questions sont d’autant plus importantes que l’expérience prouve que lorsqu’on ouvre une porte en raison d’un état d’urgence, on la referme rarement ensuite. Quand les outils sont en place, que les données sont collectées, que les esprits s’y sont habitués, il est bien difficile de revenir en arrière. Ça a été le cas des mesures antiterroristes, qui sont passées dans le droit commun alors que l’état d’urgence lui-même était terminé. C’est d’ailleurs ce que l’avocat François Sureau a très bien rappelé le 1er avril sur France Inter : si l’on dit aux populations que d’autres épidémies risquent d’arriver, que la crise sanitaire n’est pas terminée, comment justifier qu’on revienne en arrière ? L’Autorité britannique de protection des données vient d’ailleurs de rendre un avis sur ces questions en expliquant que la condition majeure d’un contrôle de ce type était que ce dernier soit temporaire.
L’épidémie de Coronavirus aurait-elle donc accéléré une tendance de fond à l’ouverture massive des données ?
Je ne pense pas qu’on puisse dire cela. Car avec l’adoption du règlement européen de protection des données en 2016, il y a eu une prise de conscience collective. Les gens ont compris que les pratiques de surveillance massive par des entreprises privées ou par les gouvernements étaient des choix qui méritaient d’être discutés. Mais les attentats de 2015 et la crise actuelle rebattent les cartes. Il faut donc prendre la peine d’expliquer que des alternatives existent – par exemple tester à grande échelle, encourager l’autoconfinement etc. À l’heure actuelle d’ailleurs, des militants se mobilisent à l’échelle nationale et européenne pour élever dans le débat public les questions de la collecte des données sanitaires. Cette mobilisation est encore peu audible, mais elle doit s’amplifier. À cet égard, la prise de position de Jacques Toubon, défenseur des droits, s’inquiétant de la surveillance des données pour la sortie du confinement, est par exemple importante. Dans le fond, je pense que les gens sont conscients de ces questions, mais que dans l’adversité ils font ce qu’ils peuvent. Se contenter de critiquer ne suffit pas : ce qui est important c’est de faire apparaître les alternatives….