- La Cité
Une nouvelle société digitale, construite sur un modèle économique et social inédit, émerge actuellement. Elle trouve son origine dans l’accélération de la digitalisation de l’économie entamée avec l’arrivée d’internet dans les années 90. Tous les secteurs de l’économie et de la société sont désormais concernés par cette révolution, caractérisée par une montée en puissance des plateformes de services, qui utilisent nos données personnelles, et l’intelligence artificielle pour s’enrichir. En trente ans seulement d’existence, trois modèles différents de société numérique sont apparus.
Le premier est américain. Pour s’imposer, il a besoin d’utiliser les capacités d’innovation des entreprises, mais aussi d’exploiter la puissance de l’imaginaire et du récit entourant leurs créateurs. Le second modèle est chinois. Il mise tout sur le capitalisme de surveillance (crédit social, reconnaissance faciale…) pour assurer la stabilité de son parti/Etat. Enfin, le troisième modèle est européen. Depuis trois décennies, le vieux Continent subit une « colonisation » technologique. Il réagit principalement en protégeant ses citoyens avec des mesures comme le désormais célèbre Règlement Général sur la Protection des Données (RGPD), faisant de la souveraineté numérique une question majeure du débat en Europe et plus particulièrement en France ; bien plus qu’aux USA ou en Chine.
La stratégie européenne s’explique par les nombreux scandales liés à l’utilisation licite des données personnelles des utilisateurs des plateformes, à l’international mais aussi en France. Depuis 2013 et les révélations d’Edward Snowden, il est de notoriété publique que l’Agence Nationale de Sécurité américaine, la NSA, a massivement collecté et détenu des données personnelles de citoyens américains et étrangers. En 2016, de sérieux doutes ont plané sur l’ingérence du pouvoir russe dans la victoire de Donald Trump après que des manipulations pour influencer les résultats du vote ont été mises en évidence sur Facebook. Tout comme des doutes subsistent encore sur la victoire du camp du « Leave » lors du référendum pour ou contre le Brexit.
Le scandale de « Cambridge Analytica » a mis en lumière le rôle de cette entreprise spécialisée dans l’exploitation des données dans le résultat final du référendum, avec l’utilisation illégale de plus d’un million de comptes Facebook et la diffusion de publicités politiques utilisant la peur pour manipuler les utilisateurs. Au total, ce sont plus de 87 millions de données qui ont été utilisées à des fins électorales par l’entreprise londonienne. Dans une interview(1) à L’ADN, le lanceur d’alerte Christopher Wylie, à l’origine de la révélation du scandale, expliquait en septembre 2020 que “tout est en germe pour une nouvelle affaire Cambridge Analytica.”
En France, d’autres scandales ont fait la Une des médias. Le premier concerne la plateforme « Health Data Hub » recensant les données médicales des Français, d’une ampleur inédite et officialisée par la loi santé du 24 juillet 2019. Toutes les informations liées aux actes remboursés par l’assurance-maladie, mais aussi celles des hôpitaux, des centres spécialisés ainsi que celles du dossier spécialisé partagé des patients y sont stockées. L’hébergement de cette mégabase, ouverte aux chercheurs et aux informaticiens, a été confiée sans appel d’offres à Microsoft, un acteur américain, laissant de nombreuses interrogations quant aux lacunes de la France en matière de souveraineté numérique. Une situation d’autant problématique que l’accès aux informations aurait pu être autorisé à des acteurs privés alors que ces dernières étaient stockées à différents endroits sur le globe (Pays-Bas notamment).
Alertée par la situation, une quinzaine d’associations a saisi le Conseil d’Etat. En 2022, l’Etat a retiré auprès de la CNIL sa demande d’autorisation qui était pourtant une condition indispensable pour que le Health Data Hub fonctionne de manière opérationnelle. Encore plus récemment, l’application StopCovid a également été dénoncée par de nombreuses associations. Parmi les critiques formulées, il y avait notamment celle de la collecte des données personnelles de ses utilisateurs. Le 15 juin 2020, dans un article publié par Mediapart, le chercheur en cryptologie de l’Inria, Gaëtan Leurent, indiquait que les données collectées étaient plus nombreuses que ce qui était prévu initialement ; bien plus que la version de l’application validée par la CNIL.
Les données personnelles sont devenues une denrée stratégique et indispensable pour de nombreux secteurs de l’économie comme la banque ou encore les télécommunications. A tel point qu’un retour en arrière semble impossible et provoquerait même un choc sans précédent sur notre économie. Le marché de la data était estimé en 2020 à plus de 1000 milliards d’euros rien qu’en Europe, alors qu’en parallèle le vol de données est en passe de devenir la nouvelle criminalité de masse du XXIème siècle. Entre 2021 et 2022, le nombre de rançongiciels a augmenté de plus de 300 % pour atteindre un montant de 456,8 millions de dollars, touchant aussi bien les hôpitaux, les petites comme les grandes entreprises.
Toujours en 2022, la CNIL a prononcé 21 sanctions pour un montant total de 101,2 millions d’euros. Depuis l’entrée en vigueur du RGPD, plus de 2,5 milliards d’euros d’amendes ont été versés à l’Union européenne. A la première place des plus fortes amendes infligées on retrouve Google pour un montant de 250 millions d’euros, loin devant les autres géants technologiques que sont Méta et Microsoft qui ont écopé chacun d’une amende de 60 millions d’euros.
Cette situation inédite est pourtant prise en compte par le législateur depuis 2016 et la première loi dite « Lemaire » qui prévoyait une protection accrue pour les données personnelles des internautes. Mais c’est la loi relative à la protection des données personnelles de 2018 qui marquera une montée en puissance dans la protection des citoyens. Elle adapte la loi « Informatique et libertés » du 6 janvier 1978 au « paquet européen de protection des données » qui comprendra le désormais célèbre Règlement général sur la protection des données (RGPD), directement applicable dans tous les pays européens au 25 mai 2018.
Pour mieux protéger les données utilisés, des solutions innovantes sont explorées par certains pays. La première d’entre elles consisterait à imposer aux services de cloud, comme ceux utilisés par les GAFAM, d’être stockés dans des datas centers situés dans le pays d’émission des données. En 2018, afin de se conformer à la loi chinoise sur la cybersécurité, Apple s’est vu imposer le transfert de toutes les données des utilisateurs de l’iCloud chinois à un partenaire local.
Selon l’association professionnelle « The Information Technology Industry Council », une douzaine de pays s’est engagée comme la Chine à la géolocalisation des données de leurs concitoyens. C’est la voie empruntée par l’application chinoise TikTok, alors que les menaces d’interdiction pèsent de plus en plus sur elle. Ses dirigeants viennent de décider le stockage des données de ses 150 millions d’utilisateurs européens dans trois data centers situés en Irlande et en Norvège. Dans une communication en date du 8 mars dernier (2), Théo Bertram, vice-président de l’application, précisait les contours du projet « Clover » censé rassurer les autorités américaines et européennes. « Nous commencerons à stocker localement les données des utilisateurs européens de TikTok cette année, et la migration se poursuivra jusqu’en 2024 (…) Une fois achevé, ces trois centres seront le lieu de stockage par défaut des données des utilisateurs européens de TikTok. Ils représentent un investissement annuel total de 1,2 milliard d’euros ».
Ce stockage sur les terres européennes sera intégralement vérifié par un prestataire européen tiers de confiance. TikTok s’est également engagé à pseudonymiser les données personnelles ; une technique qui consiste à remplacer les données directement identifiantes (nom, prénom…) par des données indirectement identifiantes (alias…).
Au-delà du débat fondamental sur la protection des données, celui-ci s’est déplacé ces derniers mois sur leur valorisation financière qui échappe totalement au politique et à la société toute entière, accélérant les inégalités de richesse.
Le 3 novembre 2020, les Américains n’ont pas seulement voté pour élire leur nouveau Président Joe Biden. Ils ont également participé à de nombreux scrutins locaux organisés dans les 3141 comtés des Etats-Unis. L’un des scrutins organisés en Californie portait sur l’opportunité de créer une CNIL locale ou encore de rémunérer les internautes pour l’exploitation de leurs données. 56% des électeurs ayant voté en faveur du texte soumis à référendum, il entrera en vigueur en 2023.
Depuis plusieurs mois, un débat de fond s’installe dans la société américaine quant à la juste rémunération de ce nouveau pétrole que représentent nos données personnelles. En 2019, le gouverneur californien Gavin Newsom proposait déjà le versement d’un dividende digital. « Les consommateurs californiens devraient également pouvoir partager la richesse créée à partir de leurs données », déclara-t-il lors d’une interview (3). Deux ans plus tôt, en 2017, l’État du Minnesota présentait un projet de loi qui obligeait les fournisseurs de services de télécommunications et d’internet à payer les consommateurs pour l’utilisation de leurs informations.
Enfin, lors des primaires démocrates de 2020, le candidat Andrew Yang, créateur du « Data Dividend Project », promettait de rendre à chaque citoyen l’équivalent de 1000 dollars par mois. Après tout, les entreprises de la Silicon Valley ne se gênent pas pour s’enrichir grâce à nos données, alors pourquoi ne partageraient-elles pas le fruit de cette richesse avec nous ?
Cette vision de la monétisation des données est portée en France par le think tank de Gaspard Koenig, Génération Libre. Dans le rapport « Mes data sont à moi » publié en 2018 (4), le think tank propose ainsi l’instauration d’un droit de propriété sur nos données personnelles. « Inspiré par le raisonnement déployé par le chercheur américain Jaron Lanier, l’objectif est de rendre l’individu juridiquement propriétaire de ses données personnelles. Chacun pourrait ainsi vendre ses données aux plateformes, ou au contraire payer pour le service rendu et conserver ses données privées », peut-on lire en introduction du rapport. Vendre ses données. Le mot est lâché ! Sachant que les limites juridiques à cette solution existent et qu’elle n’a été mise en place dans aucun pays dans le monde… Sauf chez Amazon qui a proposé à certains clients du service Prime de les rémunérer pour avoir accès à leurs données de navigation. Les volontaires se voient ainsi verser la somme de 2 dollars par mois. Une paille !
Pourtant, une autre stratégie est possible. Elle est même évoquée dans le rapport de Génération Libre. Elle repose sur une nationalisation des données à laquelle s’ajouterait la création d’une « agence nationale (…), rassemblant, mutualisant et chiffrant l’ensemble des données de la population, pour les mettre ensuite à disposition, sous certaines conditions, des entreprises les mieux à même de les utiliser ». Une stratégie que le think tank ne préconise pas. « Une telle mainmise de l’Etat sur nos données créerait une bureaucratie diamétralement opposée à la culture de l’Internet, et donnerait au pouvoir central des moyens de contrôle extravagants ».
Peut-être. Mais à la question de l’exploitation et la rémunération de nos données, il existe donc une réponse qui s’inscrit dans une logique plus égalitaire que celle proposée par les libéraux ; une solution qui n’accentuerait pas les inégalités, avec d’un côté les plus riches qui auraient les moyens de protéger leurs données, et de l’autre côté les plus pauvres incités à vendre leurs données pour obtenir un gain financier.
Cette solution permettrait une meilleure répartition de la richesse créée par nos données, sachant que leur production infinie ne fait pas baisser leur valeur, au contraire elle l’augmente. Un constat partagé par Badr Boussabat, économiste, auteur et expert en intelligence artificielle (5) : « chaque jour, nous créons des données dont le volume et la valeur augmentent continuellement. Ces deux augmentations ne démontrant aucune corrélation négative, contrairement au constat avec la monnaie. »
De leur côté, les trois auteurs du livre Data démocratie, être un citoyen libre à l’ère du numérique (6) proposent de créer une Haute Autorité à la donnée chargée de centraliser tous les sujets liés à la donnée en France, mais aussi d’instaurer une redevance nationale de la donnée payée par les sociétés du digital, « à l’image d’une SACEM de la data ». Un rôle que pourrait assurer la CNIL avec pour objectif principal de rassembler et de chiffrer l’ensemble des données.
Pour de nombreux observateurs, cette nouvelle ressource financière permettrait, par exemple, de doter d’un capital de départ tous les Français à leur majorité ou la mise en place d’un revenu universel de base équivalent au seuil de pauvreté mensuel, soit 1102 euros. Cette nouvelle ressource pour l’Etat pourrait également financer de nouveaux programmes en faveur de l’environnement ou de la santé. Un optimisme que ne partage pas tous les économistes. Au vu des ordres de grandeurs, il est très improbable selon eux qu’on puisse tirer un revenu universel significatif à partir de la monétisation de nos données, comme l’avance par exemple Andrew Yang. Pour eux, une imposition des GAFAM dans les règles apporteraient un complément de revenu fiscal significatif, estimé environ à 1 milliard d’euros, mais qui reste limité en comparaison du budget général de l’État.
Se poser la question de la protection et la valorisation de nos données, c’est aussi s’interroger sur la puissance des entreprises technologiques qui les utilisent et du modèle de société digitale qu’elles imposent, dans un contexte de compétition internationale.
Si la législation européenne s’est améliorée, l’exploitation de nos données personnelles représente de nouvelles menaces qui seront autant de défis pour l’Europe dans les prochaines années. Parmi ceux-ci, le Cloud Act américain, adopté en 2018 et qui permet aux États-Unis d’exploiter librement des données personnelles n’appartenant pas à des citoyens américains, rentre en conflit direct avec le RGPD européen.
Max Schrems, activiste et fondateur de l’organisation à but non lucratif « None of your business », réagissait en octobre dernier (7) sur le nouveau cadre fixé pour le transfert des données personnelles de l’Union européenne vers les Etats-Unis : « nous allons vraisemblablement attaquer le texte en justice ». Une menace prise très au sérieux puisque Max Schrems a déjà réussi à casser deux accords passés en 2015 et 2020 entre les Etats-Unis et l’Europe. Ces derniers visaient notamment à simplifier les échanges de données personnelles entre les deux continents. « La surveillance de masse va continuer (…) A la fin, l’opinion de la Cour de justice de l’Union Européenne l’emportera et tuera une nouvelle fois cet accord », prédit-il, optimiste.
Pour se prémunir des tentatives de domination sur le marché stratégique de l’hébergement des données en ligne, le couple franco-allemand a lancé en 2020 un embryon de cloud européen prénommé Gaia-X. Si ce dernier permet de réelles avancées, comme l’imposition aux hébergeurs de l’interopérabilité et la portabilité des données, il n’est toutefois pas de taille pour rivaliser avec les GAFAM.
Dans ce contexte, comment la France et l’Europe peuvent concurrencer les géants américains et chinois ? Tout d’abord, la culture européenne du numérique pourrait être celle qui instaure l’utilisation de systèmes d’exploitation et de logiciels libres, comme Linux, et promeut un Internet de l’entraide et du partage. Elle pourrait également voter des lois anti-trust plus restrictives qui limiteraient les monopoles, comme le font les États-Unis, en limitant le niveau de certains marchés à 70%, voire moins, pour une seule entreprise. L’Europe pourrait aussi stimuler la création de plateformes collectives, semblables à celles que l’on connaît, dont les services seraient offerts en tant que service public, et sans exploiter les données personnelles à des fins commerciales. L’Europe pourrait enfin promouvoir le concept « d’Etat-plateforme » pour faciliter la relation du citoyen à l’administration d’une part, puis constituer une réponse au capitalisme de plateforme d’autre part. Son but serait de créer un nouveau modèle de société qui faciliterait les échanges ainsi que la production de biens et de services, tout en stimulant les partenariats avec le secteur privé. Là aussi l’Europe pourrait constituer une aide précieuse. Elle pourrait, par exemple, doter les entreprises de l’argent nécessaire à la recherche et au développement de nouvelles technologies en mutualisant entre les pays membres les sommes nécessaires pour concurrencer les États-Unis et la Chine dans les domaines clés du futur que sont l’intelligence artificielle, les superordinateurs, les nanotechnologies et l’informatique quantique.
La nationalisation des données personnelles pour mieux les protéger n’est plus un tabou aujourd’hui, alors que leur valorisation financière interroge de plus en plus au sein de la société. Qui profite réellement de leur monétisation automatisée par l’intelligence artificielle ? Les législations françaises et européennes sont-elles suffisantes pour apporter les réponses nécessaires aux préoccupations des citoyens ? Les différents scandales observés ces dernières années sont de nature à faire de la protection de nos données un sujet majeur du débat politique à l’avenir, alors qu’un vrai clivage entre la gauche et la droite se met actuellement en place sur ce sujet.
Références
(1)https://www.ladn.eu/tech-a-suivre/christopher-wylie-cambridge-analytica-menaces-democraties/
(2)https://www.larevuedudigital.com/tiktok-veut-rassurer-leurope-en-hebergeant-localement-ses-donnees/
(6)Thomas Jamet, Florian Freyssenet et Lionel Dos Santos De Sousa. « Data démocratie, être un citoyen libre à l’ère du numérique ». Editions Diateino (2022).
Si vous aimez notre travail, c’est par ici !
C’est encore mieux version papier.