Les enjeux du traitement des données personnelles à l’heure du big data - Table ronde - Capitole du Libre 2018

Titre :
Table ronde  : Les enjeux du traitement des données personnelles à l’heure du big data
Intervenants :
Bertrand Monthubert - Stéphane Bortzmeyer - Tristan Nitot - Marc Rees - Amaelle Guiton
Lieu :
Capitole du Libre - Toulouse
Date :
décembre 2018
Durée :
1 h 8 min 49
Visionner la vidéo
Licence de la transcription :
Verbatim
Illustration :
capture d’écran de la vidéo

Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l’April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription

Amaelle Guiton : Bonjour à tous et à toutes. Merci d’être avec nous, assez nombreux quand même, mine de rien, pour cette table ronde intitulée très précisément « Les enjeux du traitement des données personnelles à l’heure du big data ». Avant qu’on commence et qu’on entre dans le vif du sujet, je laisse la parole pour quelques instants à Bertrand Monthubert qui est conseiller régional, délégué à l’Enseignement supérieur et à la Recherche.
Bertrand Monthubert : Merci beaucoup.
[Applaudissements]
Bertrand Monthubert : C’est elle que vous applaudissez j’espère. Merci pour votre invitation. D’abord bravo aux organisateurs pour ce qui est, manifestement, une réussite une fois de plus pour cette 7e édition du Capitole du Libre. C’est extrêmement important que des événements comme ça s’organisent pour que la vie du logiciel libre, évidemment, se développe, prenne de l’ampleur et c’est ce qui est en train de se passer. C’est grâce à beaucoup de militants, de bénévoles et il faut vraiment les saluer. Je tiens à le faire extrêmement sincèrement.
Cette table ronde est quelque chose d’extrêmement important et la région Occitanie, aujourd’hui, est engagée dans une démarche très active en la matière, où on retrouve, d’ailleurs, des gens comme Tristan Nitot puisque nous avons lancé une initiative à laquelle Qwant est associé et juste, je vais vous dire en quelques mots, très rapidement, parce que vous attendez évidemment d’entendre nos orateurs, quelle est la philosophie dans laquelle nous nous inscrivons.

Nous avons la conviction, évidemment, que nous sommes face à un grand bouleversement et que, face à ce grand bouleversement, il faut absolument qu’on soit des acteurs importants et qu’on ne laisse absolument pas des acteurs à l’autre bout de la planète gouverner la manière dont les choses vont se passer et en particulier en termes de données personnelles. Et pour le faire, évidemment, il faut éditer des réglementations et puis les appliquer. Il y a eu des gros progrès quand même ! Il y a eu le RGPD [Règlement général sur la protection des données], très discuté, néanmoins marquant de très grands progrès. Pour autant je crois que ça n’épuise pas les choses, parce que finalement la question, notamment quand on parle de la question des données personnelles, c’est qu’évidemment il s’agit de protéger les droits des individus, mais pour autant ces données peuvent avoir aussi des intérêts pour les individus eux-mêmes. On le sait tous et c’est bien pour ça d’ailleurs que se développent un certain nombre de choses et c’est assez frappant de voir que finalement, même quand il y a des fuites massives de données, c’est ce qui s’est passé il n’y a pas si longtemps avec Facebook, même s’il y a des désinscriptions, eh bien il y a pour autant, encore, une très grande partie des gens qui continue à utiliser ces systèmes.

Donc il y a quelque qui pourrait paraître paradoxal en ayant le sentiment que, à la fois, les gens veulent, et c’est légitime, avoir des données qui sont protégées et pour autant ferment les yeux, très souvent, vis-à-vis des outils qu’ils utilisent et qui pompent, aspirent, revendent et vont même faire des choses même encore pires que ça avec leurs données.

Évidemment pour nous, ce qui semble important, c’est d’arriver à fédérer les acteurs qui sont prêts à avoir une démarche éthique, souveraine, sur la donnée, non pas pour ne rien faire avec les données, mais pour faire des choses, des choses qui soient à usage des citoyens, qui permettent de faire progresser un certain nombre de choses et en particulier la recherche, la santé, la connaissance d’une manière beaucoup plus générale. Et pour ça on a besoin de pouvoir, notamment, croiser des données personnelles entre elles, mais évidemment il faut définir un cadre éthique et souverain pour pouvoir le faire, pour se prémunir contre la fuite des données.

Et c’est dans ce cadre-là que, autour d’un certain nombre d’acteurs que j’anime au sein de ce qui est en train de devenir une association de préfiguration qui s’appelle Occitanie-Data [1], dans laquelle il y a des acteurs comme Qwant, justement, et nous en sommes,évidemment, extrêmement heureux, eh bien nous travaillons dans cette direction. Le choix qui a été fait c’est de s’adresser à des acteurs souverains, à des acteurs qui respectent des principes éthiques forts et c’est pour ça que, évidemment, Qwant était pour nous un partenaire de choix, même si Qwant, pour le moment, n’est pas encore installé en région Occitanie – j’espère que ça changera bientôt mon cher Tristan –, mais il y a des étapes ; nous venons d’en franchir une première.
Tristan Nitot : Je ne m’avancerai pas ce soir sur le sujet.
Bertrand Monthubert : Tu ne t’avanceras pas ce soir, ce n’est pas l’objet de la table ronde et je ne te tends pas de piège en disant cela. Mais tu vois le dynamisme de la capitale de la région Occitanie quand même !
Tristan Nitot : Absolument !
Bertrand Monthubert : J’espère que vous allez lui montrer l’enthousiasme que vous avez pour que Qwant, effectivement, puisse développer de l’activité ici, ce serait bien pour tout le monde. Il y a de l’enthousiasme tu vois ! Donc des acteurs comme Qwant et beaucoup d’autres autour de l’initiative et nous communiquerons plus largement là-dessus bientôt.

J’ai déjà été un petit long donc je vais m’arrêter ici pour cette introduction, mais c’est pour vous dire à quel point, pour nous, cette question de l’enjeu des données personnelles à l’heure du big data est vraiment quelque chose d’essentiel sur lequel nous sommes profondément engagés. Merci pour votre attention et bonne table ronde.
[Applaudissements]
Amaelle Guiton : Merci beaucoup. Bertrand Monthubert en parlait, c’est vrai qu’on a vécu une année 2018 assez intéressante, en positif comme en négatif, puisqu’on a eu un scandale assez majeur de fuite de données, tout le monde a en tête Cambridge Analytica. Pour ceux qui ne l’auraient pas totalement en tête, c’est donc cette entreprise de marketing politique, en tout cas qui se présente comme telle, liée à un milliardaire très proche de Trump et à son ex-conseiller, Steve Bannon, qui a utilisé les données de 80 millions d’utilisateurs de Facebook pour établir ce qui s’appelait des profils psycho-sociaux, lesquels auraient été utilisés à des fins de publicité ciblée en faveur de Trump ou en faveur du Brexit. Donc on a là un exemple assez flagrant de ce que peut donner, on va dire, un cadre effectivement assez lâche puisque, en l’occurrence, il n’y avait rien de particulièrement illégal dans cette histoire à l’origine, c’est juste Facebook qui ne protégeait pas les données de ses utilisateurs. Et on voit aussi la manière dont ça peut être utilisé par des acteurs politiques à des fins de manipulation ; je crois qu’on ne peut pas le dire autrement. Donc on a eu ce moment qui a été un moment de prise de conscience, on aura l’occasion d’y revenir.

Et puis, quelques mois après, est entré en application le Règlement général sur la protection de données adopté par l’Union européenne, ça aussi on en parlera parce que je crois que c’est à la fois un progrès réel et substantiel et puis, en même temps, ce n’est que le début du boulot puisque maintenant il va falloir le faire appliquer et puis, surtout, il va falloir préciser un certain nombre de notions qui sont dans ce règlement et qui peuvent donner lieu à, on va dire, l’établissement d’une jurisprudence qui peut aller dans un sens ou dans l’autre. Donc l’idée c’est un peu d’essayer de voir où est-ce qu’on en est aujourd’hui, qu’est-ce qui nous attend par la suite et qu’est-ce qu’on peut faire, vers quelle société on va, finalement.

Donc on a avec nous par ordre alphabétique, comme ça je ne vexerai personne, Stéphane Bortzmeyer qui est ingénieur réseau et qui est spécialiste mondial du DNS ; on peut le dire comme ça, tu crois ? Si, si.
[Stéphane Bortzmeyer fait « plus ou moins » avec les mains.]
Tristan Nitot : Mondial.
Amaelle Guiton : Tristan Nitot qui est vice-président de Qwant après avoir longtemps officié pour la Fondation Mozilla et Marc Rees, célébrissime rédacteur en chef de Next INpact que, à mon avis, vous êtes un certain nombre à lire dans cette salle.
Tristan Nitot : J’espère que vous êtes abonnés.
Amaelle Guiton : Et si ce n’est pas le cas, eh bien honnêtement, faites-le ! Vous pouvez même vous abonner, ce que j’ai fait.

Peut-être, pour commencer, revenir un peu sur Cambridge Analytica parce que moi j’ai eu le sentiment que c’était quand même une espèce de tournant en termes de conscience des internautes sur les risques, justement, à la fois de la centralisation massive de données personnelles, de leur mésusage et aussi de ce qu’on peut en faire. Est-ce qu’on est vraiment dans ce moment de prise de conscience ? Tristan, peut-être, pour commencer.
Tristan Nitot : J’espère qu’on est dans une prise de conscience parce que je pense qu’aujourd’hui on est tous plus ou moins démunis face au numérique — dans cette salle certainement un peu moins qu’ailleurs —, mais il faut quand même reconnaître qu’il y a une injonction à passer au numérique et on dit à peu près à tout le monde : « Comment, tu n’utilises pas Google ? Comment, tu n’as pas Internet ? – ça c’était il y a quelques années. Comment, tu n’as pas de smartphone ? Comment, tu n’es pas sur Facebook ? etc. », et sans jamais que les gens soient formés. À titre d’exemple, peut-être pour ceux d’entre vous qui ont un smartphone, comment ça s’est passé l’éducation au smartphone ? Ça a dû prendre 90 secondes dans une boutique Orange ou équivalent où on vous a dit : « Le bouton vert c’est pour passer des appels et ça c’est pour envoyer des textos, sinon ça c’est pour aller chercher des applications parce que vous pouvez installer des programmes comme dans un ordinateur ». Ça c’est dans le meilleur des cas. Ou alors, évidemment, vous avez une formation en informatique et, à ce moment-là, c’est autre chose. Mais 95, 98, 99 % des gens n’ont pas de formation au numérique, ils apprennent sur le tas comme ils peuvent et on les pousse dans le dos pour qu’ils avancent et qu’ils consomment toujours plus de numérique. Finalement ceux qui nous éduquent, eh bien ce sont les gens qui font du commercial, du marketing : « Regardez comme c’est cool la Google Home, vous voyez, vous avez des trucs ». Évidement, c’est extrêmement difficile de prendre du recul sur les aspects toxiques, négatifs du numérique, parce qu’il ne faut jamais compter sur les services de marketing pour vous expliquer que la Google Home c’est quand même installer un micro dans votre salon ! Ils ne vont pas vous le dire comme ça ! Par contre les médias ont des rôles à jouer. On voit, par exemple, que la police américaine, pour la deuxième fois, vient de demander à Amazon des enregistrements issus d’Alexa pour élucider des crimes. Donc ça veut dire que le micro est quand même allumé et que les gens peuvent avoir accès à ces données qui ont été enregistrées chez moi.
Donc je vois dans Cambridge Analytica, dans ce scandale, qu’il y a un aspect positif en ce sens qu’il est médiatique et qu’il est aussi pédagogique. Regardez, on est capable, quand on centralise les données dans un endroit, dans les mains d’un type que j’hésiterais à peine à qualifier d’escroc parce que c’est open bar sur la data, avec des données personnelles des gens, et ce type n’hésite pas à prendre des risques de déséquilibrer la politique de son propre pays juste pour gagner de l’argent. Et ça, je pense que c’est le genre de catastrophe qui a ceci de positif qu’il peut éveiller les consciences et faire comprendre que waouh ! en fait c’est grave ! Et ce qui est bien c’est que, avec Facebook, toutes les semaines on a une nouvelle grosse merde comme ça. Je pense qu’avec du matraquage, sauf si on s’y habitue, eh bien on va quand même arriver à prendre conscience qu’il y a un vrai problème.
Le dernier scandale est révélé par un article du New York Times sorti il y a trois jours ; deux semaines avant c’était sur la publicité sur les élections des midterms aux USA, qui est quand même complètement dingue. Si on rembobine 2018, en janvier 2018 Mark Zuckerberg écrit sur son Facebook, visible par tous : « 2018 est l’année où je répare Facebook ! » Janvier ! Févier, on se rend compte qu’il offre un VPN [Virtual Private Network] gratuit à ses utilisateurs en échange de quoi il espionne votre usage — il passe par le VPN — sur les applications concurrentes. Ça c’était févier : il avait déjà commencé à réparer, on voyait, il était dur au boulot !

Mars-avril ou mai je ne sais plus.
Amaelle Guiton : C’est mars.
Tristan Nitot : Mars, Cambridge Analytica ; super Mark, pas celui-là [Tristan indique Marc Rees], Mark Zuckerberg, surtout tu ne changes rien, c’est bien, on voit que tu répares à fond ! Et là, ensuite, les différents trucs, les midterms, etc. Les midterms, c’est-à-dire qu’on l’accusait déjà avoir été instrumental dans le bricolage des élections américaines et le mec, six mois plus tard, il rempile avec les publicités politiques mensongères ! Il est toujours très dur à réparer Facebook ! Moi j’ai hâte de voir 2019 !
Amaelle Guiton : Il semble qu’il a un problème de PR [public relations] comme on dit, de relations publiques ce temps-ci. Je voyais Marc qui voulait réagir. Marc Rees donc.
Marc Rees : Oui, pas l’autre Mark !
Amaelle Guiton : Je sens que ça va être un running gag jusqu’à la fin de cette table ronde.
Marc Rees : En fait, ce qu’a dit Tristan est très juste, mais je crois que la problématique en question a été accentuée, aussi, par un défaut d’information. Pour revenir aux fondamentaux de l’affaire Cambridge Analytica, on est parti d’une application, un questionnaire de personnalité comme on en a tout plein sur Facebook et qui sont très pénibles. Des gens ont répondu naïvement, gentiment, bon ! Peut-être qu’ils s’ennuyaient et, à partir de ce pétrole, grâce aux autorisations qui étaient ouvertes par Facebook à l’époque, les gens qui étaient derrière cette application ont pu récupérer, déjà ont pu tracer, faire un social graph, un graphe social des personnes qui ont répondu, mais également ont pu le faire avec toutes les personnes qui étaient dans les contacts de chacun des répondants.

La problématique que tu as soulevée est très juste, celle de la centralisation, mais elle est doublée et aggravée par un défaut d’information. Parce que si on avait dit aux gens : « Tu vas répondre à un questionnaire de personnalité pour savoir si tu aimes les spaghetti ou les ravioli – bon ! –, mais en plus, moi, derrière, ça va me permettre de faire des pubs ciblées sur les Afro-américains pour rapporter des propos de Clinton ou autres afin de jouer sur une élection », peut-être que l’individu n’aurait pas répondu tel qu’il l’a fait. Cette problématique du défaut d’information je pense qu’elle est fondamentale et le RGPD, tu l’as cité, on y reviendra, peut apporter des solutions.
Amaelle Guiton : Stéphane, pendant qu’on préparait cette table ronde, tu disais que ce qui est intéressant aussi avec cette histoire de Cambridge Analytica, c’est qu’on comprend bien un des enjeux et des problèmes du big data, c’est qu’à partir de plein de données, en fait on en construit d’autres. Ce sont les croisements et les rapprochements.
Stéphane Bortzmeyer : C’est vrai que la plupart des gens, quand on leur parle de problèmes de données personnelles et de fuites de données personnelles, ils pensent à un secret particulier qu’ils ont et paf ! il serait découvert : j’ai une Ferrari cachée et paf ! le fisc vient de l’apprendre et il va me faire un redressement fiscal pour ça. Ce problème existe, bien sûr, mais tout le monde n’a pas forcément un secret comme ça bien spectaculaire et c’est pour ça que beaucoup de gens se disent « moi je n’ai rien à cacher ». Par contre, tout le monde a plein de petites informations éparpillées un peu partout dont aucune n’est vraiment très grave, mais qui mises ensemble, corrélées, nourries d’autres informations, peuvent arriver à déterminer des profils intéressants et faire soit des messages politiques ciblés, soit demain on acceptera ou on refusera de vous faire un prêt ou un contrat d’assurance à cause de ça, voire on vous surveillera ou on vous refusera un boulot à cause de ça. Et je crois que c’est vraiment là que le big data a quelque chose de spécial par rapport aux autres violations des données personnelles qu’on avait eues avant, c’est qu’on peut déduire des choses que les gens n’ont pas dites explicitement.

J’avais vu l’autre jour un rapport d’une boîte qui voulait savoir quels étaient ses followers sur Twitter et qui avait payé un service que fait Twitter ; on les paye et ils vous font un rapport avec les caractéristiques de vos followers. Et dans le lot il y a plein d’informations que la plupart des gens n’ont pas mises. Par exemple, il y avait s’ils étaient propriétaires ou locataires de leur maison, ce qu’on ne met pas explicitement quand on ouvre un compte Twitter, mais qui peut être déduit de toutes les informations qu’on a par ailleurs. Et c’est là, je crois, où est le danger et c’est dangereux pour deux raisons. C’est qu’un, beaucoup d’utilisateurs ne comprennent pas encore le pouvoir de ces recoupements, de ces informations éparpillées qui finissent par dessiner un profil alors même que chacune paraissait assez inoffensive : je suis copain avec machin, c’est un peu inoffensif. Mais si, par exemple, la majorité des gens avec qui on est copain partage telles idées politiques, comme souvent ce qui se ressemble s’assemble, Facebook peut en déduire les opinions politiques qu’on a alors même que chacune des informations n’était pas très grave.

Donc cette absence de compréhension de l’importance du recoupement est un premier problème. Le deuxième est que ça rend difficiles les actions puisque chaque fuite de données, comme ça, n’est pas très importante en elle-même, mais c’est le nombre qui fait le problème. Et l’appareil, par exemple légal, n’est pas vraiment prévu pour ça. Il est prévu pour des crimes bien identifiés, d’ampleur qui justifie qu’on poursuive les gens ou les entreprises et qu’on les condamne, et c’est beaucoup plus délicat de poursuivre plein de petites fuites qui, chacune, n’est peut-être pas très grave mais qui, ensemble, finissent par faire une vraie violation des données personnelles.
Amaelle Guiton : Marc.
Marc Rees : À l’université de Cambridge cette fois-ci, qui n’a rien à voir avec Cambridge Analytica, il y a des études en psychométrie qui ont été faites et qui démontrent ou, en tout cas, laissent à penser qu’à partir de 68 « like » sur Facebook on peut deviner la couleur de peau d’une personne à 88 %, je ne sais plus si c’est 88 ou 89. De même on peut déduire à partir de ce même lot de « like » l’orientation sexuelle d’une personne. À partir de 150 « like » on peut connaître une personne mieux que ses parents. Voilà !
Amaelle Guiton : On a commencé à parler un peu du Règlement général sur la protection des données [2] qui est donc entré en application, je ne voudrais par dire de bêtise, c’est le 23 mai.
Marc Rees : 25 !
Amaelle Guiton : 25, bon ! J’en ai dit une. Tant pis ! Marc, toi qui l’as lu en large en long et en travers, qui as publié des commentaires article par article, si mes souvenirs sont bons, qu’est-ce qu’il nous apporte ce texte, finalement ? Beaucoup de gens sont persuadés que c’est une avancée et je pense qu’ils ont raison. Si on devait résumer et dire, finalement, sur quel terrain ça permet de progresser et notamment par rapport aux questions qu’on vient d’aborder ?
Marc Rees : Les avantages, enfin les évolutions sont multiples.

Première : auparavant, dans la logique de la loi CNIL [Commission nationale de l’informatique et des libertés] de 78, modifiée plusieurs fois, on était dans une logique quasiment documentaire, avec une obligation déclarative de la part des responsables de traitement. Dès lors qu’on voulait réaliser un traitement de données personnelles, eh bien il fallait faire une déclaration administrative assez pénible auprès de la CNIL.

Le RGPD change totalement la logique. Il rentre dans un système de responsabilisation, c’est-à-dire qu’il n’y a plus de formalité préalable : tu gères des données personnelles, OK, mais tu en es responsable de A à Z, de la conception même du système jusqu’à son application. Et cette logique de responsabilité, quelque part, accompagne aussi la maturité de la donnée personnelle dans le pays. Première chose.

Deuxième et grande évolution c’est l’application territoriale du texte, puisque le RGPD s’applique pour toutes les entreprises qui sont établies, qui ont un lieu d’établissement en Europe, mais il s’applique également pour tous les responsables de traitement qui sont à quelque endroit sur la planète mais qui ciblent, dans leurs traitements, des données personnelles de citoyens européens. Donc il y a un vent, comme ça, une mise à niveau à l’échelle de la planète pour tous les acteurs qui s’intéressent à l’Europe.

Évidemment, on a la partie sanctions ; la partie sanctions m’agace un petit peu ; elle m’agace un petit peu parce que souvent le RGPD a été présenté sous son versant bâton alors que Cozy Cloud [3] et Qwant [4] – je ne veux pas te faire de pub [en se tournant vers Tristan Nitot] –, mais Cozy Cloud et Qwant montrent qu’on peut avoir un respect de la donnée personnelle et s’en servir comme un argument marketing. Le marketing ce n’est pas sale ! Et cette partie-là est intéressante dans cette logique du RGPD ; oui il y a une partie sanction, la sanction « rgpdienne » c’est 4 % du chiffre d’affaires mondial ou 20 millions d’euros d’amende, le plus haut niveau des deux l’emportant.
Amaelle Guiton : Ce qui n’est quand même pas anodin par rapport à ce qu’étaient les sanctions précédentes de la CNIL. On peut quand même considérer que la taille du bâton est un progrès. Non ?
Marc Rees : C’est un progrès et d’ailleurs ça fait assez rire puisque Facebook a été sanctionné par l’équivalent de la CNIL au Royaume-Uni de 500 mille livres sterling, c’est quasiment rien, mais le problème c’est que les faits de Cambridge Analytica sont antérieurs au 25 mai donc on applique la loi dans le temps et, malheureusement, c’est l’ancienne loi qui s’applique.
Amaelle Guiton : Tristan, ça crée un appel d’air le RGPD pour des acteurs on va dire plus vertueux que nos « amis » entre guillemets californiens ?
Tristan Nitot : De toute façon nous, chez Qwant, on a toujours été orientés sur le sujet donc l’avantage c’est que ça braque les projecteurs sur la problématique des données personnelles. Donc nous ça nous arrange. Déjà ça n’a pas été très compliqué chez nous parce qu’on ne collecte pas de données. Voilà ! Problème résolu. Et ça fait comprendre au grand public que oui la donnée personnelle est quelque chose d’important, donc c’était, effectivement, très positif pour Qwant.
Amaelle Guiton : Il y a quand même un aspect qui, depuis le début, me titille avec ce texte et je ne suis pas la seule, et c’est pour ça que, y compris des acteurs associatifs – La Quadrature du Net [5] a été un des premiers à le faire, il y a eu aussi une association en Allemagne, maintenant c’est l’Internet Society – s’appuient sur le RGPD pour déposer des plaintes, en fait, que ce soit auprès de la CNIL ou au civil, c’est qu’il y a un enjeu assez énorme, semble-t-il, de jurisprudence, parce que la question de l’intérêt légitime, par exemple des entreprises, à la collecte et au traitement des données personnelles, ça va demander à être affiné. Marc, il y a vrai enjeu aussi de ce point de vue-là ?
Marc Rees : Oui. Il faut juste préciser que lorsque vous êtes responsable de traitement il y a différentes portes de justification qui vous autorisent à collecter de la donnée personnelle. Le plus simple c’est le consentement de la personne : « M’autorisez-vous à collecter vos données personnelles pour faire un traitement ? » Ça c’est le consentement. Mais il y a cinq autres justifications et, parmi les cinq autres justifications, parmi les mesures liées par exemple aux questions de sécurité nationale ou par la force de la loi, on a ce qu’on appelle l’intérêt légitime. C’est-à-dire qu’un responsable de traitement peut dire : « Moi j’ai un intérêt légitime à collecter vos données personnelles » et, en passant par cet argumentaire, on évince la question du consentement.

Et cette problématique d’intérêt légitime, qui préexistait au RGPD, là, effectivement, on est en attente forte de doctrine d’application très concrète pour tous les articles. Juste pour vous signaler la chose, le RGPD c’est 200 pages, c’est 99 articles, 173 considérants. Il y eu 4000 amendements au Parlement à Strasbourg. Et quand vous injectez ça dans un système juridique aussi vaste que l’Europe, ce n’est pas neutre, ce n’est pas tous les jours qu’on a un tel véhicule. Donc on a besoin de ce recul, notamment pour la question des cookies par exemple : peut-on, ou non, collecter des cookies plus ou moins publicitaires ? Pour le savoir, par exemple, je me suis amusé à « attaquer », entre guillemets, la boutique de l’Élysée, qui a fait pas mal de bruit, devant la CNIL, parce que j’ai considéré que les conditions générales d’utilisation, notamment la partie données personnelles, soulevaient des questionnements métaphysiques et donc j’ai saisi officiellement la CNIL.
Tristan Nitot : C’est comme ça que tu es lié à l’affaire Benalla, puisque c’est Benalla…
Marc Rees : Oui ! Ils t’attendent d’ailleurs.
Tristan Nitot : Ah non ! Moi je ne peux pas courir, arrête tes conneries.
Marc Rees : Justement !
Amaelle Guiton : Tout s’explique. C’est vrai que, du coup, on a à la fois un texte européen qui, maintenant, est regardé avec envie par certains parlementaires américains, ça fait toujours plaisir ! Ce sont plutôt des parlementaires démocrates, ils ne sont pas encore très nombreux, mais il y en a un certain nombre qui commencent à dire que peut-être il faudrait faire comme l’Europe et réguler. Donc on a un appui juridique, y compris pour aller chercher des crosses à ces acteurs-là.

Il y a quand même une partie du problème qui est leur nature même, leur business modèle et le fait que, effectivement, tout ça repose sur une hyper-centralisation des données. Je me souviens avoir vu des conférences de toi notamment, Stéphane, où tu disais le problème c’est que quand on veut faire un équivalent de Facebook ou un équivalent de Twitter, finalement ce n’est pas si simple. On a vu les tentatives. Est-ce qu’on a quand même une chance, à un moment donné, d’y arriver ? C’est-à-dire à faire émerger, je ne sais pas, des réseaux sociaux qui soient des réseaux sociaux vertueux, de manière, on va dire, massive, pas seulement pour quelques happy few comme c’est encore le cas aujourd’hui malheureusement.
Stéphane Bortzmeyer : C’est vrai que c’est un argument qu’on entend très souvent en faveur de Facebook qui est « mais les gens sont volontaires ; ils mettent leurs données volontairement ». On parle des fois de paradoxe en disant d’un côté ils sont au courant de Cambridge Analytica, mais de l’autre ils continuent à donner leurs données à Facebook et c’est d’ailleurs l’argument choc de Facebook : on n’a pas forcé les gens, ils sont volontaires.

Cet argument est malhonnête pour tout un tas de raisons, certaines déjà citées, mais il y en a une sur laquelle j’insiste, c’est : le consentement n’est pas éclairé. La notion de consentement éclairé est une notion qui existe dans pas mal d’aspects du droit, par exemple dans le domaine éthique en médecine : quand on fait des expériences sur les gens, ils doivent non seulement donner leur consentement mais un consentement éclairé. Ça fait longtemps qu’il y a cette histoire de consentement en médecine et, pendant longtemps, c’était « tu es d’accord, mets une croix ici ». Ce n’est pas du tout un consentement éclairé dans ce cas-là quand il s’agit d’expériences un peu compliquées.

Là, dans l’état actuel de la formation informatique de la plupart des gens, il n’y a pas vraiment de consentement éclairé. La plupart des gens ne se rendent pas compte que le simple fait de regarder une page avec le bouton « like » de Facebook, pouf ! des informations sur eux sont enregistrées même s’ils n’ont pas de compte Facebook d’ailleurs. De même beaucoup de gens sous-estiment les capacités de recoupement quand on a beaucoup de données différentes.
Actuellement je ne vois pas de paradoxe dans le fait que les gens continuent à utiliser Facebook, c’est qu’ils ne se rendent pas compte. Ce qu’il faudrait faire pour Facebook, si on veut vraiment faire changer les choses, c’est non pas que les gens lisent les conditions d’utilisation que un, ils ne liront pas et, de toute façon, elles sont conçues pour être trompeuses. Ce qu’il faudrait c’est, par exemple, que les gens fassent tous un stage d’une semaine dans un service de big data de Facebook pour voir ce qu’on arrive à faire avec les données, les informations qu’on arrive à extraire, à déduire. Là ils verraient un peu plus ce à quoi servent leurs données et ça pourrait entraîner une prise de conscience.
Tristan Nitot : Je viens de recevoir un texto de Mark Zuckerberg, il n’est pas d’accord ! Que tu envoies deux milliards de personnes faire un stage d’une semaine, il ne veut pas, en fait !
Stéphane Bortzmeyer : Eh bien oui, c’est un peu ça. Donc il n’y a pas de consentement éclairé. C’est pour ça que, disons les choses franchement, il n’y a pas de scrupules à avoir à s’inscrire sur Facebook et à violer leurs règles d’utilisation parce que, de toute façon, c’est gravement asymétrique ; elles sont faites pour être incompréhensible et on ne vous dit pas l’essentiel.

Pour tout changement comme celui que tu citais, c’est-à-dire que les gens migrent de Facebook, le préalable est probablement, à part une catastrophe majeure et encore ! Après Cambridge Analytica, on se demande qu’est-ce qu’il faudrait comme catastrophe majeure pour que les gens migrent.
Amaelle Guiton : Ceci dit, il y a quand même pas mal de gens aux États-Unis qui ont fermé leur compte Facebook après Cambridge Analytica, donc on voit quand même que ça peut…
Stéphane Bortzmeyer : Le « pas mal » est à relativiser, c’est peut-être pas mal en valeur absolue, mais ça représente une poignée des utilisateurs et ce sont les gens qui… Eugen Rochko, le fondateur de Mastodon, a annoncé aujourd’hui sur Mastodon « ça y est, j’ai fermé mon compte Facebook ! » Lui, je me doutais bien qu’il le ferait un jour ou l’autre. Ce n’est pas encore le public qu’il faut toucher.

En gros, je ne suis pas sûr qu’il y ait une telle migration simplement à partir d’une accumulation de scandales menant à ce que les gens bougent. D’une manière générale, et là on en revient au RGPD, on ne peut pas demander au citoyen normal d’être un guérillero de l’information, parfaitement informé, connaissant tous les trucs, ayant lu tous les articles de Marc Rees sur le RGPD.
Tristan Nitot : Et pourtant ils sont bons !
Stéphane Bortzmeyer : Pourtant ils sont bons ! Très bien !
Marc Rees : Je confirme !
Stéphane Bortzmeyer : On les recommande, mais enfin on ne peut pas demander à des utilisateurs ordinaires d’être dans un mode militant comme ça. Et c’est bien pour ça qu’on a des lois, c’est bien pour ça qu’il y a des choses qui sont interdites même si les gens sont d’accord, c’est bien pour ça, c’est justement parce que c’est une prise en compte de l’asymétrie fondamentale des relations qu’il y a.

Je ne compte pas sur une migration massive des utilisateurs de Facebook vers d’autres réseaux. Ça existera, j’espère que ça existera, mais ça ne changera pas le problème qu’il faut aussi utiliser le bâton dont on parlait et donc taper plus fort sur Facebook pour les empêcher de faire des choses. Parce que cette idée qu’il y aura une migration c’est un peu l’idée, justement de Facebook, de dire : tant les gens ne migrent pas ça veut dire qu’ils sont d’accord en fait. Non ! Ce n’est pas comme ça que je raisonne. Quand il y a une telle asymétrie d’information entre l’utilisateur et la boîte, on ne peut pas compter uniquement sur des décisions individuelles. À un moment il faut que l’État, la collectivité, la politique, prennent leur bâton et tapent sur Facebook.
Amaelle Guiton : Ceci dit, le problème que je soulevais c’est que ce n’est pas que la question du bâton, c’est aussi la question d’avoir des offres qui font qu’il y a possibilité aussi d’aller ailleurs. On voit bien. L’État est le premier à ne pas donner l’exemple ! Quand on voit le nombre d’universités qui ont leurs mails chez Gmail, par exemple, on voit bien qu’il y a un sérieux problème aussi. Tristan.
Tristan Nitot : Je ne me lance pas là-dessus !
[Rires]
Tristan Nitot : C’est vrai. En fait on en parlait tout à l’heure, c’est compliqué. Je suis vraiment en empathie avec les organisations, en particulier dans l’Éducation nationale, où c’est super compliqué. Je donnais une table ronde l’autre jour au 110 bis donc au ministère de l’Éducation nationale et quelqu’un, dans le public, me dit : « Qu’est-ce que vous voulez qu’on fasse nous, dans l’Éducation nationale ? » Et je lui ai dit directement : moi je n’aimerais vraiment pas être à votre place. Ce n’est pas facile. Vous êtes dans l’Éducation nationale, vous avez des bouleversements, vous avez des besoins, vous n’avez pas de crédits, vous n’avez pas de budget et vous avez des profs qui ne sont pas faciles à former ; vous avez des élèves qui sont turbulents, qui en savent parfois plus que les profs, etc., et vous êtes coincés ! Et vous avez une main secourable et totalement « désintéressée » d’une grande multinationale américaine qui vient vous proposer de l’aide en vous disant « je vais vous former des profs et je vais vous filer des outils gratuits, etc. » Mais c’est super dur de dire non. C’est vraiment super dur. Je pense qu’il faudrait dire non. Parce que, par exemple, quand un Microsoft te dit : « Je vais vous mettre en place des espaces où ils vont pouvoir stocker les notes des apprenants – c’est comme ça qu’on dit – donc des élèves, mais de tous les âges, et qu’on réalise que, quand même, Microsoft a acheté Linkedin ! Linkedin c’est le réseau social des professionnels qui sert énormément pour l’embauche. Vous imaginez le jour où, en fait — et ça arrivera parce que le pire n’est jamais certain mais dans ce cas-là on a quand même un peu l’habitude que ça arrive — finalement on arrive à connecter les données des individus : est-ce qu’ils ont réussi en maths ou pas ? Est-ce qu’ils ont bien compris la division euclidienne ou pas ? En combien de séances ? Etc. Et puis derrière Linkedin. On imagine Linkedin dans 20 ans. Linkedin avec toutes les data des élèves qui transitent. Qu’est-ce que ça veut dire ? Ça veut dire que les algorithmes de deep learning ne vont pas vous proposer tel ou tel job parce que vous avez du mal à capter la division euclidienne, vous avez mis six leçons au lieu de quatre, donc on ne va pas vous proposer tel ou tel job. Et ça c’est extrêmement préoccupant.

Alors on va me dire « ouais, Nitot, il est parano, etc. » Je voudrais juste vous donner un exemple : Google, en 2009, rachète DoubleClick qui est la régie publicitaire de publicité ciblée. Et là il y a une levée de boucliers médiatiques et des activistes qui disent : « Mais attendez, Google, vous réalisez là ? Ça fait des années que vous offrez Gmail, vous avez énormément de données personnelles sur les gens, leurs préférences, leurs goûts, qu’est-ce qu’ils se disent dans les mails, quels sont leurs contacts, etc. Vous avez leur historique de navigation, vous savez tout ce qui les préoccupe à l’instant même où ça les préoccupe. Vous savez, vous connaissez incroyablement bien chaque individu et là vous achetez DoubleClick qui est quand même la régie publicitaire pour de la publicité ciblée. C’est super dangereux de rapprocher les deux ». Et là Google, la main sur le cœur, le regard sur la ligne bleue des Vosges fait : « Non, non ! Ne craignez rien ! Je ne vais jamais rapprocher les deux ! »
Amaelle Guiton : Plutôt le Grand Canyon quand même, peut-être !
Tristan Nitot : Ou le Grand Canyon si tu préfères, c’est beau ! « Je ne rapprocherai jamais les deux ! » Et l’été 2017 ou 2016 arrive, je ne sais plus, et en plein mois d’août, nouvelle privacy policy et cette muraille de Chine qu’ils avaient instaurée en 2009 saute à ce moment-là. La privacy policy évolue et le rapprochement entre les deux n’est plus interdit. Et Google l’a fait complètement silencieusement, sous la pression concurrentielle de Facebook qui commençait à devenir trop performant avec ses publicités.

Donc c’est terrible de voir ces deux géants, un qui est plutôt sympathique, franchement je trouve que Google c’était une bonne boîte à une époque, et un qui est franchement malhonnête et là on voit le malhonnête qui pousse le plus honnête des deux à l’imiter. Donc c’est la course vers le fond de la mare pour aller dans la vase et nous on est juste les victimes du truc. Donc c’est extrêmement préoccupant. Voilà pourquoi il faut faire attention.
Amaelle Guiton : Ceci dit, là on a beaucoup parlé des acteurs privés, on a dit pas mal de mal de Facebook, de Google, de Microsoft. Je ne voudrais quand même pas qu’on oublie totalement les pouvoirs publics. Marc j’aimerais bien que tu en dises un petit mot. Vous avez peut-être vu passer récemment cette idée, qui a donc germé à Bercy, d’aller faire du big data à partir de données publiques sur Facebook, sur Instagram, etc., pour trouver d’éventuels fraudeurs fiscaux. On voit bien comment tout ça peut un peu partir en sucette, le plus beau étant que, manifestement, le ministère n’a pas jugé utile de demander son avis préalable à la CNIL avant de faire ces annonces. Donc on voit que le big data ça fait saliver tout le monde, y compris, d’ailleurs, des gens qui ne s’embarrassent pas tellement de savoir s’ils ont le droit de faire ça comme ça ou pas.
Marc Rees : Alors que la loi CNIL, telle que modifiée suite au 25 mai et la mise en application du RGPD, impose, enfin recommande hautement de se souvenir de l’existence de la CNIL. Mais bon ! Certains l’oublient.

L’idée de Bercy c’est quoi ? C’est d’exploiter les profils publics des abonnés des réseaux sociaux, il n’y a pas forcément que Facebook, pour essayer de trouver des indices, pas des preuves, des indices de potentielle étrangeté fiscale du type, je ne sais pas, une personne qui déclare avoir 1000 de revenus, s’affiche régulièrement en Ferrari ou en Prius — j’ai une Prius — sur le réseau social. Là encore, ça montre un petit peu l’idée qui est derrière, c’est d’exploiter des données qui sont publiques, de manière industrialisée, pour essayer de dénicher des discordances avec les déclarations fiscales.

Ces procédures existaient en droit fiscal. En droit fiscal, en procédure fiscale, il y a l’examen de la situation fiscale personnelle qui permet de déduire un revenu à partir des dépenses effectuées par un contribuable. Là on est plus en amont, c’est-à-dire qu’on essaie de trouver des signaux faibles de dépenses, mais aussi de résidence fiscale. Si, par exemple, une personne se domicilie, je ne sais pas, au Luxembourg alors qu’elle passe six mois plus un jour en France – en tout cas c’est ce qu’indiquent les métadonnées qui sont associées à son compte sur Facebook – peut-être que c’est un peu bizarre. Peut-être que ce contribuable luxembourgeois finalement il est français et il essaye d’échapper à l’impôt. Après l’idée c’est de lâcher un inspecteur extrêmement efficace sur ce dossier-là pour qu’il vérifie s’il y a ou non évasion.
Tristan Nitot : J’aime bien quand tu fais « ce dossier-là », on dirait vraiment un pitbull, tu vois !
Marc Rees : Oui.
Tristan Nitot : Moi je vais te troller quand même !
Marc Rees : Trolle.
Tristan Nitot : Je vais te dire, moi j’adore cette idée. J’aimerais beaucoup que ça fasse un scandale médiatique parce que ça permettrait de prendre conscience. Tous les gens qui te disent : « Ah ouais, mais moi je n’ai rien à cacher », que tout d’un coup, quand on commence à s’attaquer à leur pognon parce qu’ils fraudent le fisc, finalement peut-être que oui, ils ont quelque chose à cacher. Donc encore une grande leçon, en fait, de numérique qui arriverait avec cette histoire : « Tu vois bien que tu as des trucs à cacher ! » Ça c’est ma petite satisfaction personnelle. Monsieur n’a pas l’air d’accord. C’est un troll, ça n’attend pas de réponse
Public : Je ne suis pas d’accord. Là vous laissez croire que les gens ont des choses à cacher. Ces choses-là sont forcément illégales. Nous avons tous des choses à cacher qui sont parfaitement légales.
[Applaudissements]
Amaelle Guiton : Je pense qu’en vrai Tristan en est le premier convaincu, quand même !
Tristan Nitot : Tu n’étais pas à mon keynote de tout à l’heure toi, c’est sûr, parce que j’ai passé une heure à dire ça. Je parle de troll parce que, justement, quand les gens disent qu’ils n’ont rien à cacher je sais bien que ce n’est pas vrai.
Marc Rees : Le cœur de ce « rien à cacher », j’ai un peu scruté la salle et je remarque qu’à priori tout le monde est habillé, par exemple. En fait c’est simplement juste protéger. Oui, c’est débile comme exemple, mais l’idée c’est quand même…
Tristan Nitot : Attends ! J’utilise cet exemple, tu ne peux pas dire qu’il est débile !
Marc Rees : Le mien est débile !
Tristan Nitot : Oui, mais c’est le même !
Amaelle Guiton : Restez courtois !
Marc Rees : Il est intelligent lorsque Tristan le présente. On est tous habillés, c’est juste protéger le cœur de son intimité. Point barre. Après, il n’y a évidemment pas de question et je ne pense pas que c’était l’idée un peu défendue par Tristan, mais l’idée c’est de supposer que toute personne qui cache quelque chose est un fraudeur potentiel. Ce n’est pas ça. C’est juste l’idée de pouvoir se construire soi-même. Même sur un profil public on a droit au respect de sa vie privée. D’ailleurs c’est ce que s’est empressée de rappeler la CNIL dans un communiqué, de dire « attention, il y a une problématique de proportionnalité ». Certes, lutter contre la fraude fiscale est un objectif de valeur constitutionnelle, mais protéger la vie privée aussi et c’est un principe de même rang qui n’a rien à rougir face à ces questions métaphysiques de Bercy.
Amaelle Guiton : Ce n’est pas parce qu’une donnée est accessible publiquement que ça n’est plus une donnée personnelle et c’est effectivement ce qu’a rappelé la CNIL.
Marc Rees : Oui. De même on a droit au respect de la vie privée sur le lieu de travail. La vie privée est un peu partout, on la transporte avec soi-même.
Amaelle Guiton : L’heure tourne et j’aimerais bien, à un moment donné, pouvoir vous laisser la parole. Mais avant de vous laisser la parole, je voudrais demander à tous les trois qu’est-ce qui finalement, à votre sens — parce qu’on a déjà vu un certain nombre de problèmes qui se posent maintenant — nous pend au nez dans les années à venir à votre avis ? Et disons, quelles seraient les urgences, peut-être, du moment ? Un petit exercice de prospective. Je ne sais pas qui veut commencer. Je sais que Stéphane est très angoissé par l’idée de la reconnaissance faciale, manifestement.
Stéphane Bortzmeyer : Si on a un système de reconnaissance faciale performant – il y en a actuellement, ce n’est pas toujours aussi bien que le prétendent les vendeurs mais ça se perfectionne – on pourra fouiller dans des photos qui ne sont pas actuellement identifiées. Actuellement, si vous prenez soin de ne pas mettre de photos de vous sur Facebook, mais vous allez à une soirée, quelqu’un prend une photo, la met sur Facebook, vous vous retrouvez sur Facebook. Alors vous pouvez vous dire « oui, mais il n’a pas mis les noms sur la photo donc ce n’est pas très grave, les gens me reconnaîtront mais la plupart du temps ça sera perdu au milieu de plein d’autres photos ». Sauf que le jour où on pourra faire avec les photos ce qu’on fait aujourd’hui avec le texte, en tapant dans Google un texte et on retrouve des textes que personne ne connaissait ou avait oublié ou des choses comme ça, le jour où pourra faire ça sur les photos, là on aura un vrai problème. C’est-à-dire qu’on pourra retrouver toutes les soirées où vous êtes allé où quelqu’un a mis une photo quelque part même sans vous identifier, toutes lesmanifestations où vous êtes allé. Par exemple là une photo qui sera prise globalement de tout l’amphi et qui ne parait pas trop grave on pourra après taper le nom d’une personne et si elle était à Capitole du Libre ce jour-là on le saura.
Tristan Nitot : Et vous serez étiqueté dangereux libriste, vous voyez !
Stéphane Bortzmeyer : Voilà ! Je pense que malgré ce que racontent les commerciaux qui essayent de vendre des solutions de reconnaissance faciale, actuellement ce n’est pas aussi au point que ça, ça ne marche que dans des conditions idéales, mais ça se perfectionne. Donc là on pourrait avoir un problème surtout si on le combine avec le développement de la vidéo-surveillance, parce que là, les photos, ça ne sera plus juste les copains qui ont pris des photos avec leur smartphone et qu’ils ont mises sur Facebook, ça sera tout ce qu’on a fait dans l’espace public. Et là, c’est ce que disait Marc, c’est un gros changement par rapport à une observation ponctuelle. Quand vous vous promenez dans la rue, quelqu’un peut vous voir et vous reconnaître : votre patron, un copain, un ennemi, des choses comme ça. Mais le jour où on pourra mettre une photo de vous et la faire reconnaître, donc on tape votre nom et on retrouve toutes les vidéos de vidéosurveillance où vous êtes, ça sera d’une ampleur complètement différente. Ça ne sera pas juste ponctuellement on vous a vu dans telle ou telle circonstance ; ça sera tout ce que vous avez fait. Il y a certainement déjà eu un épisode de Black Mirror qui en parlait, s’il n’y en pas encore eu un il y en aura un, et ça, pour moi, c’est ce qui vraiment ferait franchir un seuil qualitatif important à la surveillance.
Amaelle Guiton : Marc. Un petit mot de conclusion.
Marc Rees : Je suis totalement nul en art divinatoire, je ne sais pas. La problématique des Smart Cities, ce qu’a publié La Quadrature [6] sur ce qui se passe à Marseille notamment, c’est extrêmement intéressant et c’est flippant à souhait. En fait, c’est une espèce de mégastructure, c’est IBM qui gère ça je crois, qui rassemble l’intégralité des images captées par des caméras de vidéo protection, vidéo-surveillance, ça dépend de leur endroit. À Toulouse aussi ! Bon ! Eh bien voilà ! Et essayer de deviner un critère de risque, une espèce de score de risque pour allouer des moyens à la police, etc., sur tel ou tel point, ça me pose un peu des questions ! Mais surtout, ce que je veux regarder de près, c’est plutôt quelles vont être les réactions des autorités de contrôle type la CNIL en France. Est-ce qu’elles vont être totalement dépolluées de toute influence politique avec des moyens suffisants pour pouvoir affronter parce que, malheureusement, le contre-pouvoir est certes chez le citoyen, mais il y a un défaut d’information, comme tu l’as bien dit, parce que les textes sont compliqués, mais le sachant ici ce sont les autorités de contrôle, ce sont elles qui ont les clefs, qui ont les moyens. Le RGPD met tout sur la table, il n’y a plus qu’à se servir et à opérer. Elles jouent aussi leur légitimité quelque part. Donc oui, cette logique du bâton peut être qu’il va falloir qu’elles tapent un grand coup malheureusement. La pédagogie par la menace ça m’agace un peu, mais j’espère juste que ces autorités vont jouer le jeu à fond avec les moyens qui seront à la hauteur.
Amaelle Guiton : Elles en demandent. C’est quand même assez régulier ; à chaque rapport annuel de la CNIL le message c’est : on a de plus en plus de dossiers sur la table, ça serait bien qu’on ait plus de moyens et plus de personnel, ce qui ne semble pas forcément d’ailleurs être tellement l’ambiance, ce qui n’aide pas.
Marc Rees : Pour la loi de finances 2019, je crois que la CNIL, si je dis une bêtise excusez-moi, mais je crois qu’elle a obtenu 15 emplois temps plein supplémentaires.
Tristan Nitot : Ce qui, face au défi du RGPD, est vraiment ridicule. Je suis membre du Comité de prospective de la CNIL ; je suis bénévole.
Marc Rees : C’est bien 15 ?
Tristan Nitot : Je ne sais pas, mais je sais et je constate, en fait, que la CNIL fait un excellent travail dans un contexte où elle est vraiment sous pression et elle n’arrive pas à avoir plus de moyens ce qui, à mon avis, est un vrai problème et un véritable scandale. Il faudrait donner beaucoup plus de moyens à la CNIL. Je ne prêche pas pour ma paroisse, je ne suis pas employé de la CNIL ou quoi que ce soit, mais je le vérifie pour travailler avec cette institution : il faudrait plus de moyens pour la CNIL. Si jamais vous avez un milliardaire parmi vos amis, si quelqu’un connaît Zuckerberg par exemple.
Marc Rees : Je connais un Marc, moi !
Tristan Nitot : Il faudrait qu’il fasse un petit don !
Amaelle Guiton : C’est sûrement lui qui va financer la CNIL, tiens ! Peut-être un petit mot, pareil, de prospective ou de conclusion Tristan avant qu’on vous passe la parole.
Tristan Nitot : C’est presque une philosophie de vie. À chaque fois qu’on me pose la question sur le futur je dis que je ne sais pas à quoi ça va ressembler. Par contre, je veux à chaque fois rappeler qu’on a une capacité d’action. On peut déjà commencer à se documenter ; si vous êtes là c’est le cas et je vous en remercie, vous allez dans le bon chemin, dans la bonne direction. On peut discuter entre copains, on peut décider de fermer son compte Facebook, on peut décider de se rencarder sur les permissions de telle ou telle application ; on peut essayer de comprendre pourquoi le « je n’ai rien à cacher » c’est de la foutaise. Et puis on peut construire ou donner de l’argent à des organisations qui font du logiciel libre. En ce moment La Quadrature cherche de l’argent, en ce moment Framasoft [7] cherche de l’argent. Tout ce que vous pouvez faire pour les aider, que ce soit sur le terrain, en faisant du logiciel libre ou en soutenant financièrement, ça sert à construire notre avenir à tous qui sera celui qu’on voudra bien avoir plutôt que celui qu’ils voudront bien nous laisser.
Amaelle Guiton : C’est un joli mot de la fin ça ! Vous pouvez applaudir quand même !
[Applaudissements]
Amaelle Guiton : J’ai compris qu’il ne faut pas qu’on squatte la salle jusqu’à pas d’heure, mais qu’on peut déborder un petit peu sur l’horaire prévu qui était 20 heures, donc on va voir jusqu’où on peut aller. Est-ce qu’il y a des questions. Allez-y. Oh là, il y en a plein. On va essayer d’aller dans l’ordre. Une là.
Tristan Nitot : Il faut lui donner un micro. Il y en a un qui se sacrifie, qui donne son micro.
Amaelle Guiton : On va faire circuler un micro, effectivement ce sera plus simple.
Public : Le RGPD ne règle en rien le problème des fichiers régaliens qui sont de plus en plus gourmands et un État qui se méfie systématiquement de tous ses citoyens est un État malade qu’il faudra soigner, d’une manière ou d’une autre, et le RGPD ne soigne nullement.
Tristan Nitot : On peut parler très brièvement, alors ce n’était pas vraiment une question. Je préfère les questions mais, juste pour rebondir sur cette remarque, eh bien à Bure, par exemple, où en ce moment il y a des écolos qui ne sont pas contents à propos de Bure et on voit bien, dans la droite ligne de ce que tu dis, que l’État met en place des outils qui, au départ, étaient censés être utilisés uniquement pour l’antiterrorisme, des IMSI-catchers, etc., et maintenant tu as juste quelques activistes verts qui sont avec tout l’arsenal antiterroriste aux fesses.
Amaelle Guiton : Je crois que c’était prévu pour d’autres finalités, mais ce qui est assez frappant c’est qu’effectivement on passe du renseignement au judiciaire — des fois ça peut aller dans l’autre sens par ailleurs —, mais il y a des allers-retours entre renseignement et judiciaire et il y a, effectivement, usage de technologies où on a un peu l’impression que c’est y aller à l’arme lourde, quoi ! Parce que là on est clairement sur de la surveillance de militants.
Marc Rees : Je crois que le gros piège c’est de hiérarchiser le risque en fonction de l’État ou des sociétés privées et il ne faut surtout pas faire cela ! Le risque est le même, c’est juste un angle différent. La loi renseignement a montré qu’il y avait des problématiques extrêmement lourdes et, en fait, la loi renseignement offre des pouvoirs extrêmement denses aux autorités, mais ce pouvoir n’existe que parce qu’elles ont en main un stock sur les sites, les hébergeurs, les intermédiaires, les fournisseurs d’accès. Donc il y a une filiation, il y a un lien quasiment incestueux, avec un pouvoir régalien et effectivement, comme vous le disiez, le RGPD face au pouvoir régalien, eh bien il ne pèse pas grand-chose.
Tristan Nitot : Il y a une autre question.
Amaelle Guiton : Je ne sais pas où est le micro ?
Public : Ici.
Amaelle Guiton : D’accord OK.
Public : On parle de pouvoirs publics, de bâton, de punition, mais à propos de carotte, est-ce qu’on a déjà parlé de subvention du Libre, un peu comme pour les panneaux solaires, mais pour du logiciel ?
Stéphane Bortzmeyer : Pour le problème de la protection des données personnelles, le logiciel libre c’est bien, je pense que je n’ai pas besoin de convaincre les gens ici que le logiciel libre c’est bien, mais en soi ça ne résout pas le problème. Google utiliserait 100 % de logiciel libre, ça ne changerait pas leur pratique. C’est plutôt ce dont Amaelle, je crois, parlait tout à l’heure, c’est-à-dire d’avoir des systèmes plus éclatés, où il n’y ait pas de centralisation des données, des choses comme ça. Ça on pourrait l’encourager. Après oui, on pourrait et ça serait sans doute une bonne idée, à condition que ça soit bien réparti, bien éclaté, qu’il n’y ait pas un gros acteur qui émerge et qu’on se retrouve dans la situation précédente.
Amaelle Guiton : Pour le coup, moi je suis en train de me rappeler des débats qu’il y avait eus, tu m’arrêteras Marc si je me plante, au moment des discussions sur la loi République numérique parce qu’il y avait une partie des parlementaires qui voulaient, justement, inscrire dans le dur le fait que l’État privilégiait les logiciels libres et ils se sont pris dans la tronche le droit de la concurrence, donc ils se sont pris d’autres textes.
Marc Rees : Alors que le Conseil d’État, sur un marché public, n’a pas jugé utile de sanctionner un marché public qui privilégiait le Libre. Il y une histoire de gros sous derrière, donc forcément on arrive parfois à des solutions qui sont un petit peu exotiques.
Amaelle Guiton : Ceci dit, il y a des parties de l’État qui utilisent du Libre ; je pense effectivement que c’est ce qu’il faudrait encourager ; dans la gendarmerie, par exemple, ce qui ne les empêche pas d’utiliser des IMSI-catchers par ailleurs, mais dans la gendarmerie ils utilisent du logiciel libre depuis longtemps.
Tristan Nitot : Est-ce que les IMSI-catchers, sont libres ?
Amaelle Guiton : Je ne pense pas du tout ! Et il y a des parties de l’État où, effectivement, on fait des efforts de ce point de vue-là pour des questions ne serait-ce que de sécurité des réseaux, tout bêtement, de souveraineté, tout ça.
Marc Rees : Les députés, c’est Microsoft !
Amaelle Guiton : Oui. Voilà. Autre question ? Où est passé le micro ?
Tristan Nitot : Satanas et Diabolo.
Amaelle Guiton : Ah ouais. D’accord !
Public : J’ai lu un article il y a quelques jours sur Usbek & Rica à propos d’un livre d’une mathématicienne américaine qui vient de sortir en France. L’auteur s’appelle Cathy O’Neil et le titre du bouquin c’est Algorithmes : la bombe à retardement et elle nomme ça « une arme de destruction mathématique » où elle dit, en fait, que les algorithmes – on a parlé du danger de l’exploitation, la surveillance et tout – accentuent les inégalités sociales puisqu’elle dit, notamment, finalement que toutes les données sont utilisées pour cibler les populations américaines en disant « eux ce sont des pauvres et on va faire en sorte qu’ils restent de plus en plus pauvres et qu’ils restent pauvres pendant que les riches vont rester riches ». Elle dit elle-même, attendez je retrouve : « Je suis sur Google, je n’utilise pas Tor ou autres proxy. Les ravages des algorithmes ne frappent pas les gens comme moi. Au contraire, le système est fait pour favoriser les gens comme moi ; il fragilise encore les gens les plus fragiles. »
Tristan Nitot : C’est quoi la question ?
Amaelle Guiton : Ce n’est pas l’algorithme lui-même. Les algorithmes n’existent pas en dehors d’un contexte et en dehors de l’usage qui en est fait. Donc effectivement ça dépend de ce qu’on met dedans, ça dépend de qui les pond, ça dépend à quoi ils servent.
Tristan Nitot : Aujourd’hui il s’avère que ce qu’on appelle les algorithmes, peut-être qu’on fait référence surtout à du machine learning ; ce machine learning est basé sur des data et s’il y a de la data avec laquelle tu nourris, dans une phase d’apprentissage, ton algorithme eh bien tu paramètres ton algorithme avec cette data. Si cette data a un biais, ça veut que derrière ton algorithme va reproduire le biais et c’est super gênant, évidemment. On l’a vu, il y a eu un scandale avec Amazon : ils ont commencé à utiliser, à faire du big data sur les CV et comme ils avaient tendance à ne pas embaucher beaucoup de femmes, eh bien l’algorithme qui avait appris sur les embauches précédentes a répliqué le truc, donc principalement il ne recommandait que des CV d’hommes, parce que c’est ce qui c’était toujours passé jusqu’à présent. Là oui, on est exactement là, tu as un biais de départ et ça, en informatique, ça se dit depuis 50 ans garbage in, garbage out : tu lui donnes à bouffer de la merde, il te sort de la merde. Eh bien c’est exactement ça, mais avec des processeurs plus puissants.
Amaelle Guiton : Comme les outils d’aide à la décision dans le système judiciaire américain, typiquement sur la récidive. Ça c’était la grosse enquête de Propublica qui montrait effectivement, entre guillemets, que « les prédictions de récidive » étaient vachement biaisées ; il y avait un très fort préjugé racial parce que les données en entrée sont le résultat des condamnations aux États-Unis qui sont elles-mêmes très inégalitaires.
Public : Je suis très fâché parce qu’en fait quand vous dites que les algorithmes sont liés à une certaine neutralité ou qu’il y a des biais et des machins, ce qu’on oublie c’est que ces algorithmes sont toujours poussés par des gens qui sont déjà au pouvoir. Donc ils ne favorisent pas les plus faibles. Les plus faibles n’écrivent pas les algorithmes, jamais ! C’est un des trucs qui m’a un peu fâché dans tout ce que j’ai entendu tout à l’heure et le pic ça a été quand Tristan disait : « Google, au début, c’était une petite boîte sympathique. » En fait c’est un problème. Tout à l’heure vous n’avez pas prononcé le mot capitalisme. Je vous donne un exemple et je voudrais votre avis là-dessus. Je suis hébergeur ; j’ai un client, une boîte, il y a dix ans leur directeur technique me dit : « Ah oui on a un fichier de 200 000 abonnées "es" parce que c’étaient surtout des femmes, mais c’est notre bijou famille, jamais au grand jamais on ne le vendra ! » Je lui ai répondu : « Ah oui, tu as combien de parts dans la boîte ? — Je suis juste directeur technique, je n’ai pas de parts ». Depuis, cette boîte s’est fait racheter par une grande société et récemment par TF1. Je peux vous garantir que le fichier des abonnées aujourd’hui il est très exploité par TF1. Donc ce que je ne comprends pas c’est qu’on oublie de dire que c’est le capitalisme qui fait ça. Aucune boîte, y compris Qwant, y compris ma boîte à moi, qui pourrait nous paraître gentille aujourd’hui ne peut garantir la pérennité dans le long terme. Et, depuis tout à l’heure, vous avez passé votre temps à nous raconter un truc c’est que les données ça fait une machine à voyager dans le temps. Et je comprends la crainte de Stéphane sur le fichage des visages parce que, tout à coup, si les algorithmes s’améliorent, on a une nouvelle machine à voyager dans le temps dont on a déjà les données.

Ma vraie question c’est : qu’est-ce que vous avez dire sur au fond, quelque part, est-ce que le problème ce n’est pas le capitalisme ? Est-ce que le problème ce n’est pas aussi d’oublier ce biais ? Je rejoins la conférence de Stéphane de tout à l’heure sur la politique : on parle tout le temps des données personnelles, on parle de systèmes techniques, mais on oublie de relier ça au réel et que, finalement, tous ces systèmes-là ne font que confirmer des pouvoirs en place. Je reprends un exemple de Vanessa Codaccioni qui est chercheuse, qui a cherché sur la légitime défense. On peut se dire que la légitime défense c’est neutre, ça profite à tout le monde. Elle a montré que tout au long de l’histoire, depuis que la légitime défense existe dans le droit, elle n’a toujours profité qu’aux puissants, aux dominants. Aucune exception ! Il n’y en a pas ! Il y a deux exceptions sur 30 000 dans l’histoire ! Est-ce que, finalement, Internet n’est pas en train de confirmer ça, en train de remettre de l’eau au moulin ?

Et pour terminer, quand vous parliez tout à l’heure le coup de Facebook qui allait être scanné par Bercy moi, ce qui me choque, c’est que, à nouveau, c’est un truc qui ne va servir qu’à aller chercher des petits fraudeurs, des gens qui sont dans cette salle, des gens de notre niveau en termes de revenus ; pas du tout les grands revenus. Donc à chaque fois qu’on entend des algorithmes, qu’on entend ces systèmes-là, ce sont des grosses boîtes capitalistiques en qui on ne peut avoir à priori aucune confiance dans l’avenir et ce sont des pouvoirs déjà dominants. C’est quoi votre opinion à vous là-dessus ?
[Applaudissements]
Amaelle Guiton : Qui veut y aller ? Parce que c’est vaste.
Tristan Nitot : Forcément, si tu veux, on est quatre sur scène et on n’a pas beaucoup de temps, etc. Tu n’étais pas à ma conférence de tout à l’heure, j’imagine, pour moi, vraiment deux pistes importantes – je pense que je ne t’apprends rien, mais je les mets sur le devant de la scène pour répondre à ta question – c’est un, le logiciel libre, parce qu’il est auditable, parce qu’il est participatif et qu’il est dans les mains des gens. Évidemment on a un biais, c’est-à-dire qu’en fait, pour commencer à développer, il faut quand même avoir fait des études pour ou avoir passé du temps – je le reconnais, c’est la réalité –, mais au moins il est plus démocratique que du code propriétaire qui est dans les mains d’un GAFA. Point A.

Point B c’est une problématique de re-décentralisation de l’Internet. Il faut remettre les data près des individus, sur des machines qui font tourner du logiciel libre. Et dès lors qu’en fait tu as la data et que tu as du logiciel libre, donc c’est sous le contrôle de l’individu, à ce moment-là tu es beaucoup plus dans une possibilité de démocratie que, effectivement, si tu centralises tout avec du code propriétaire ou libre, on s’en fout parce que, de toute façon, tu ne peux pas le modifier, qui est en fait exactement ce contre quoi je me bats. Ce n’est pas un hasard si Taziden et moi et d’autres on était à FOSDEM pour faire une devroom « Décentralisation d’Internet ». C’est exactement ça et ça fait des années. J’ai fait un meet-up chez Mozilla il y a cinq ans, enfin bon, voilà ! Il faut identifier ça.

Le logiciel libre oui, oui, oui ! Mais sur une machine qui est proche de l’individu, sur laquelle il a le contrôle. Ce qui n’est pas évident parce que ça veut dire auto-hébergement, c’est compliqué, etc. L’auto-hébergement ce n’est pas simple de le faire de façon sécurisée. Bon ! Mais, en tout cas, je pense que là on a deux belles pistes et dans ma conférence de tout à l’heure j’ai parlé de ces offres qui sont en train de se créer, qui sont dans une optique de décentralisation. Évidemment Mastodon [8], PeerTube [9], etc., ça ce sont des choses qui sont importantes et ce sont peut-être des choses dont il faut parler aujourd’hui.

Là, si vous êtes concerné par ce qu’on a dit : qui est-ce qui est prêt à fermer son compte Facebook ? Qui est-ce qui est prêt à publier plutôt sur Peertube que sur YouTube ? Etc. Levez la main et faisons une déclaration, je n’en sais rien, mais qui est-ce qui a envie de changer ses habitudes, là, ce soir ? Levez la main.

Il faut faire l’effort, je ne vous demande de décider ce que ça va être mais d’aller dans cette direction-là. On a un commit vote, levez la main.
Amaelle Guiton : Oui ! On peut tous.
Tristan Nitot : Eh bien merci.
[Applaudissements]
Amaelle Guiton : Encore une question ?
Public : Je suis désolé, ce n’est pas une question, j’ai le droit quand même ou pas ?
Amaelle Guiton : Le droit de ?
Public : Ce n’est pas une question, j’ai le droit quand même ou pas ?
Amaelle Guiton : Ça dépend si ça dure dix minutes et que ça empêche d’autres de poser une question peut-être pas, mais si c’est rapide, il n’y a pas de souci.
Public : Ça ne va pas durer pas dix minutes, je vous promets, je fais vite.

Je voudrais juste commencer par préciser un petit truc : on entend beaucoup big data comme si c’était un petit le grand méchant loup. Je précise, j’ai travaillé un petit peu de temps dans le big data, c’était assez court. Le big data c’est ensemble de technologies qui permettent d’agréger, de traiter, de stocker un volume colossal de données. Donc ça a des applications du type Facebook, effectivement ; ça a des applications aussi tout à fait legit, notamment les traitements statistiques dans la médecine, dans la recherche de manière générale, dans l’astronomie, etc. On a un peu tendance à amalgamer big data et utilisations pas très legit ; c’est juste un outil.

Pour la deuxième chose, juste peut-être pour que les gens prennent conscience de la problématique qui est posée par ce genre d’outil sur la vie privée, ça manque peut-être d’exemples. Je peux vous en donner un exemple qui vient de ma vie professionnelle. J’ai travaillé pendant un temps, en partenariat, avec des fabricants de radiateurs connectés qui balançaient de la donnée, des relevés de température chez des clients toutes les 15 minutes et on peut stocker ça dans des bases Cassandra et puis faire des traitements statistiques là-dessus. C’est vachement bien parce que ce sont des relevés qui sont fiables au dixième de degré près donc on peut mesurer, par exemple, à partir de quelle heure le matin votre appartement se refroidit et à partir de quelle heure le soir votre appartement se réchauffe et on peut, à peu près, en déduire à partir de quelle heure vous partez. Si on corrèle ça avec le fait que ça se refroidit et que ça se réchauffe cinq jours sur sept, on peut déduire à partir de quand vous partez au travail, à partir de quand vous rentrez. Si on note, un soir, qu’à l’heure que vous êtes censé rentrer habituellement l’appartement ne se réchauffe pas et qu’il se réchauffe, je ne sais pas, peut-être deux-trois heures après et qu’il se réchauffe quelques dixièmes de degré plus haut que ce qu’on note d’habitude, on peut se dire que peut-être vous êtes rentré avec quelqu’un. Pardon !
Tristan Nitot : T’as pécho ? Pardon ! Je n’aurais pas dû.
Public : Pardon ! Chut ! Je ne parle de ma vie privée. Ce qu’il y a de bien c’est qu’il y a le même type de radiateur dans votre chambre. Et si on note que c’est dans votre chambre, à priori, que ça se réchauffe et que ça se réchauffe beaucoup plus que d’habitude, on peut s’imaginer que vous êtes rentré avec une ou une partenaire avec qui vous êtes en train, à priori, de faire du sexe. Et là on est sur une seule donnée qui est le relevé de température dans votre appartement. Et on peut, à priori, déduire votre vie quotidienne et votre vie amoureuse et sexuelle à partir de cette seule donnée. Donc on peut s’imaginer ce qu’on peut déduire sur une personne à partir de dizaines, de centaines de points de mesures de données différentes. Voilà. C’était un petit exemple, ma petite pierre à l’édifice.
Amaelle Guiton : Merci beaucoup. On va prendre encore une. Oui Marc. Ça ne marche pas ? [Changement de micro, NdT]
Marc Rees : Là-dessus, l’exemple que vous avez cité est très intéressant parce que, typiquement sur le RGPD, le champ d’application du RGPD, dans les premiers articles vous avez la question de la définition des termes et la notion de donnée personnelle, la définition de donnée personnelle est fondamentale puisque de la définition dépend l’application des autres articles. Justement celui-ci prend en compte le fait qu’on peut avoir une donnée qui ne soit pas personnelle au sens strict du terme mais qui permette de rendre une personne identifiable à l’aide d’éléments indirects. Et typiquement, là on caresse même du doigt le champ des données sensibles liées aux pratiques, etc., nocturnes et horizontales ou verticales. L’exemple est intéressant.

Ensuite, pour rebondir sur ce que tu disais tout à l’heure, il y a un mouvement qui m’intéresse à la Cour de justice de l’Union européenne — c’est une Cour que je suis un petit peu — c’est celui de la coresponsabilité et je trouve ça fabuleux. Par exemple, la Cour de justice de l’Union européenne a déjà considéré que sur Facebook, celui qui ouvre une page fan — une page fan de tel chanteur, de tel artiste, de tel machin, peu importe — eh bien, finalement, il est coresponsable avec Facebook des opérations réalisées sur les données personnelles. Et c’est génial ! C’est-à-dire que tu prends la responsabilité d’ouvrir une page fan sur Facebook, d’aspirer plein de données, eh bien tu l’assumes ! Donc il y un principe de responsabilité qui est assez intéressant.

Et là, actuellement, on a une affaire qui est sur le tremplin, on n’a pas encore l’arrêt, qui vise la question des boutons sociaux, boutons de partage sociaux qu’on trouve notamment sur tous les articles de presse, etc. Normalement, en toute logique, la Cour de justice de l’Union européenne devrait aboutir à la même solution, à savoir que le site de presse, par exemple, qui opte pour des boutons — les boutons fournis clefs en main par Facebook, sans qu’on touche à quoi que ce soit — eh bien celui qui intègre ça sur son site est coresponsable des données qui vont être transmises par Facebook aux fins de traitement de données personnelles. Et ça, c’est « génialissime ».
Public : L’embed.
Marc Rees : L’embed, ouais ! Dès lors que vous allez prendre un traitement qui va aspirer de la donnée personnelle, eh bien vous en assumez l’éditorialisation. Je trouve ça génial. En fait, quand on a eu un mouvement sur l’article 11, sur le projet de directive droit d’auteur, sur la question des droits voisins, beaucoup d’acteurs, beaucoup de grands éditeurs ont râlé contre Facebook qui « vole », entre guillemets, les articles de presse et tout ça, mais en fait, toute leur stratégie publicitaire est fondée sur le partage sur les réseaux sociaux et ils mettent des boutons de partage social de partout, drainant des quantités astronomiques de données personnelles sans le consentement, sans l’aval des internautes. Et sur cette notion de coresponsabilité, moi je me languis que cet arrêt tombe et je lirai avec délectation les compte-rendus de presse.
Amaelle Guiton : Ça va foutre un bordel, ça ! Je sais qu’il y a encore des questions, mais on m’a signalé qu’il fallait terminer.
Tristan Nitot : L’heure de l’apérooo ! C’est quand même la chose la plus intelligente que j’ai dite ce soir.
Amaelle Guiton : Donc je vous invite évidemment, comme on dit, à vous rapprocher des orateurs pendant le moment de convivialité qui va suivre.
[Applaudissements]