Que faire des données personnelles ? Ces "data", de plus en plus utilisées par les entreprises et notamment les géants du nets (GAFAM), mais aussi les Etats, font aujourd'hui l'objet de plus en plus de réglementations. On peut penser bien sûr au RGPD en Europe mais des lois similaires existent aussi par exemple aux Etats-Unis, au Canada ou encore au Brésil

Les données personnelles représentent un enjeu économique de taille aujourd'hui, comme nous l'ont expliqué les participants à la première table-ronde des rencontres annuelles de Cyberlex.

Les données personnelles, l'enjeu économique majeur de 2020

Les intervenants de la première table-ronde, portant sur les cookies, sont effectivement largement revenus sur l'utilisation des données personnelles. En particulier leur intérêt économique, notamment pour Google.

Emmanuel Parody, secrétaire général du GESTE, explique ainsi que la publicité sur internet se fait majoritairement via un système d'enchères. Les entreprises ne visent pas un média, mais une audience. Elles achètent donc l'audience qu'elles veulent cibler. 

Et pour acheter ces audiences, il faut avoir une base de données colossale avec les caractéristiques des visiteurs des sites à cibler (âge, sexe, centre d'intérêt...). Or l'un des plus gros possesseurs de base des données est Google, qui achète massivement ces données personnelles aux sites spécialisés dans leur revente. Selon lui, « le marché publicitaire est un marché boursier. Dans ce marché vous n'existez que si vous avez de la data. En 2020, 78% du CA publicitaire en ligne se fait via le système programmatique [ndlr : le système d'enchères] ».

Mais les données personnelles n'ont pas qu'un intérêt économique. Les données peuvent aussi avoir un intérêt pour la recherche, et notamment les données de santé. Et là encore, les GAFAM ne sont jamais très loin.

Le Health Data Hub : les "health data" mises à disposition des professionnels de santé

Le Health Data Hub, ou plateforme des données de santé, est une plateforme mise en place par le gouvernement à la fin de l'année 2019. Elle a pour objectif de recueillir des données de santé dans le but de construire une intelligence artificielle de manière à exploiter ces données.

Thomas Duong, délégué à la protection des données du Health Data Hub, explique ainsi que ces données pourraient avoir une utilité pour le système de santé lui-même voire même la recherche médicale.

Mais la plateforme a suscité des inquiétudes auprès de l'opinion publique et de la presse spécialisée. En cause, le cloud de la plateforme : géré par Microsoft, il pose des questions relatives à la souveraineté et la sécurité des données. Mais Thomas Duong s'est voulu rassurant : selon lui, les données sont pseudonymisées et chiffrées, et Microsoft ne possède pas les clés de chiffrement.

Car les données de santé font en effet partie de ces "données sensibles", celles qui touchent le plus à la vie privée des individus. D'autant que définir les données de santé n'est pas facile. Matthieu Camus, président de Privacy Impact, prend l'exemple suivant : « admettons que vous ayez un objet connecté qui relève votre rythme cardiaque. Elle n'est pas en soi une donnée de santé. Mais en la recoupant avec votre âge, taille, poids, voire dans le but de vous adresser une recommandation, elle en devient alors une donnée de santé.»

D'où la difficulté aussi de savoir quelles données sont à relever ou non pour la plateforme. Car la finalité de la collecte de la donnée et le contexte dans lequel elle se trouve par rapport à d'autres données peuvent entrer en jeu.

Les deux faces de la reconnaissance faciale

Les données biométriques font elles aussi partie de ces données sensibles, d'autant qu'elles sont capitales pour mettre en oeuvre la reconnaissance faciale.

Il semblait y avoir un consensus parmi les intervenants entre la reconnaissance faciale considérée comme "utile et proportionnée" et celle considérée comme "inacceptable et disproportionnée".  Dans la seconde catégorie, l'exemple le plus criant reste celui de la Chine, avec ses 600 millions de caméras à reconnaissance faciale appuyées par des bases de données titanesques. 

En revanche, parmi les usages acceptables, Fabrice Mattatia, DPO du ministère de l'intérieur, évoque par exemple la reconnaissance faciale aux aéroports pour faciliter les contrôles. Il insiste bien sur la notion de choix pour les voyageurs (emprunter ou non les portiques avec reconnaissance) et le caractère limité et proportionné du dispositif.

Christan Quest, assistant parlementaire de la députée Paula Forteza, évoque quant à lui la reconnaissance "en local", comme sur les smartphones iPhone où aucune donnée n'est envoyée à Apple. 

La ligne de séparation entre les usages acceptables et inacceptables reste floue. Ce qui est proportionné vis-à-vis de nos intérêts et de nos utilisations aujourd'hui pourraient ne plus l'être demain, surtout quand on sait que des bases de données colossales sont déjà constituées chez les géants Facebook ou Google.

Raphaël Lichten et Arnaud Dumourier