Mépriser les données personnelles
Un ami lecteur (à double titre, car ami et lecteur) m’a envoyé récemment un lien –amusant– –étonnant– –consternant– étrange en fait qui m’a fait me repencher sur la question des données personnelles.
Dès les premières phrases j’ai été plongé dans un océan de perplexité. Avec cette idée de propriété sur les données personnelles, nous ne sommes finalement pas loin de l’oxymore. Ah bon, l’oxymore (figure de style qui vise à rapprocher deux termes (un nom et un adjectif) que leurs sens devraient éloigner, dans une formule en apparence contradictoire) m’échappe… Passons.
Elle explique que chacun demeure propriétaire de ses données personnelles, notamment par le droit d’accès, rectification, etc. Ce qui n’est pas faux, mais soulève une question incidente : si, quoi qu’il arrive, je suis toujours propriétaire de mes données personnelles, alors comment qualifier l’utilisation par autrui de mes données, sans que je sache comment ni pourquoi elles sont utilisées ? Ce qui reviendrait, dans le monde réel, à estimer que si j’emprunte la voiture d’un tiers, l’utilise sans le lui dire, la lui rapporte sans qu’il s’en rende compte et la lui rende dans le même état (dont le remplissage du réservoir de carburant), alors je n’ai pas commis de vol. C’est certes un bel effort pour recréer du lien social, mais je doute que tout le monde apprécie.
Puis vient un subtil distinguo : les GAFA (et consorts) n’utilisent que nos données d’usage, nouveau type de données personnelles. En quoi est-ce nouveau, sont-elles personnelles ou ne le sont-elles pas ? Et cela se gâte, car la question pour l’individu n’est pas, encore une fois, celle de la propriété de ces données mais de garder la maîtrise des flux de données le concernant. Puis il s’agit d’affirmer comme un principe cardinal que chaque individu doit pouvoir décider librement de l’utilisation des données qui le concernent. Mais comment voulez-vous, madame la présidente, que quelqu’un décide librement de l’usage qui sera fait des données qui le concernent, si l’utilisateur de ces données ne lui explique rien ? Ou qu’il change d’objectif en cours de travail ? Car c’est bien le sens des déclarations des thuriféraires du big data : il ne faut pas que les données personnelles soient trop protégées, sinon nous ne pourrons plus les utiliser librement, tout en sachant que nous ne pouvons affirmer comment nous les utiliserons. La confusion s’accroît avec une phrase ultérieure : (le consommateur) est donc en droit de savoir et de comprendre quelles sont les utilisations de données le concernant ; ensuite le droit de récupérer les données qui le concernent, pour ne pas être prisonnier de son profil.
Récemment, et pour faire suite à ce précédent billet, j’ai reçu cette superbe lettre :
Certes, en envoyant mon refus de transmettre mes données personnelles je garde la maîtrise des flux de données me concernant (sic), mais que devient dans ce cas le respect de la finalité du traitement des données que vous devriez défendre ?
Pour finir, madame la présidente, malgré le respect que je vous porte et la haute considération que j’ai pour vos fonctions, permettez-moi de vous suggérer qu’il devient urgent de définir :
- ce qu’est une donnée personnelle ;
- le régime juridique des données personnelles afin, notamment, de savoir si elles peuvent être volées (à ce sujet, voici un article intéressant) ;
afin que nous sachions où nous allons. En 1978, la loi informatique et libertés a fait preuve d’une réelle vision. Pourriez-vous avoir une inspiration équivalente ?
A propos des données personnelles, voici un élément intéressant : http://www.lepoint.fr/high-tech-internet/martine-aubry-porte-plainte-contre-le-hacker-ulcan-05-12-2014-1887315_47.php Un hacker qui a récupéré les données personnelles de Martine Aubry (adresse et n° de tph semble-t-il), menace de les dévoiler.
Plainte déposée en octobre. Que décideront les juges ?
S’ils estiment qu’il y a vol, comment la CNIL pourra-t-elle tenir sa position ?
Blog l’affaire pourrait être intéressante, à moins que les juges se rabattent sur l’infraction constituée par l’introduction frauduleuse dans un système de traitement automatisé des données, ce qui permet de ne pas évoquer l’absence de statut des données personnelles.