Économie des datas et révolution digitale, arrêtons le massacre !

Plus un jour ne passe sans que l’on nous parle de la révolution ou de l’économie digitale, de la propriété des datas, ou encore de l’importance de la privacy. Que diable est-il arrivé à la langue française ? La révolution, et l’économie, 4.0 (ou la version que l’on trouvera la plus adéquate), ne signifie pas la disparition du français.

L’adjectif «digital» est un faux ami. Il ressemble en effet à s’y méprendre à l’adjectif anglais digital qui, lui, a deux significations différentes. On peut le traduire en français par digital ou numérique, mais en français ces deux termes ont des sens très différents. Digital est relatif aux doigts, alors que numérique se rapporte aux chiffres. Ainsi, lorsque l’on parle de révolution ou d’économie digitale, on parle en réalité de révolution et d’économie des doigts. Si l’on veut faire référence aux apports de l’informatique, il faut alors parler de révolution et d’économie numériques.

Si certains anglicismes techniques sont parfois défendables car il n’y a pas (encore) de terminologie reconnue, ce n’est pas le cas du mot data. Il ne traduit en effet rien d’autre que le mot «donnée» en français. Au contraire, il est même moins précis puisqu’il ne différencie pas entre la donnée et les données.

En anglais, «data» est en effet un nom singulier qui fait référence à un groupe et peut s’utiliser avec un verbe au singulier ou pluriel, même si les américains préfèrent le faire suivre d’un verbe au singulier. «Data» n’a pas de forme plurielle et «datas» n’existe donc pas, même en anglais. La valeur des données, le traitement des données ou encore la protection des données sont des formulations correctes et très compréhensibles en français.

Quant au concept de privacy que certains différencient de la protection des données, il m’échappe aussi. Pourquoi ne pas parler de sphère privée, qui est l’exacte traduction, si ce n’est pour économiser un mot ? Cela est d’autant plus juste qu’en anglais la protection des données se traduit par «Data Protection» et non «privacy» !

Déchiffrer ou décrypter: essayons d’y voir clair
On déchiffre un message lorsque l’on cherche à retrouver le texte en clair à l’aide de la clé (que l’on connaît par exemple parce qu’on l’a échangée précédemment). On décrypte en revanche un message quand on ne connaît pas la clé ou le code et qu’on essaie de le casser, en recourant par exemple à la cryptanalyse.

Le chiffrement ou le codage est donc l’opération par laquelle un message est rendu inintelligible à quiconque ne possède pas la clé permettant de le retrouver dans sa forme initiale. L’«encryption» n’existe pas en français et le terme «cryptage» devrait être évité à moins qu’il n’y ait volontairement pas de clé de déchiffrement connue.

Faisons donc un effort pour défendre la langue française, mais aussi pour être sûr d’être compris !

LSCPT et PNR, des accronymes pour conserver des données malgré leur illégalité

Le Conseil national s’est rallié lundi au Conseil des Etats et a accepté de ne pas prolonger à douze mois la conservation des données secondaires par les opérateurs de télécommunications comme le souhaitait pourtant le Conseil fédéral dans son projet de nouvelle Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT). La durée actuelle de six mois est donc maintenue. Cela peut paraître comme une victoire des défenseurs de la sphère privée, mais la conservation même de ces données est problématique du point de vue légal.

La Cour de justice de l’Union européenne (CJUE) a rendu ces dernières années quelques décisions fondamentales en matière de protection des données, comme la confirmation d’un droit au déréférencement (souvent appelé à tort droit à l’oubli), l’annulation du «Safe Harbor» et la remise en cause du transfert de données vers les U.S., ainsi que l’annulation de la directive sur la conservation des données. Cette directive a été purement et immédiatement annulée le 8 avril 2014 en raison de son atteinte grave à la sphère privée. Elle prévoyait, de manière semblable à la LSCPT, une obligation des fournisseurs de services de communications électroniques accessibles au public de conserver les données relatives au trafic, à la localisation et à l’identification des utilisateurs.

Les données accessoires ne sont pas anodines
La conservation indiscriminée et durable des données de tous les utilisateurs, dont l’essentiel n’est soupçonné d’aucun crime, constitue un traitement des données personnelles. Ces données accessoires ou métadonnées ne concernent pas le contenu des communications, mais elles permettent de tirer des conclusions très précises, telles que les habitudes de la vie quotidienne, les lieux de séjour, les déplacements, les activités exercées et les relations sociales. Ces données paraissent anodines mais elles sont extrêmement révélatrices. Il suffit de quatre points de localisation du type de ceux fournis par une antenne auquel se connecte un téléphone mobile pour identifier de manière unique 95% des individus.

La lutte contre la criminalité grave et la défense de la sécurité publique sont des intérêts légitimes qui peuvent justifier la conservation et l’analyse de certaines données, mais pas celles de tous les citoyens. La conservation systématique et sans exception des données accessoires de communications de tous les utilisateurs pour une durée déterminée est disproportionnée selon la jurisprudence de la Cour. La conservation de ces données, indépendamment même de leur exploitation, viole déjà de manière grave la sphère privée garantie par la Constitution. Quelques pays d’Europe ont déjà renoncé à la conservation systématique et des procédures judiciaires sont en cours dans d’autres.

Les droits fondamentaux servent à protéger le citoyen contre les abus de l’Etat et sont la garantie du bon fonctionnement de l’administration et de la confiance en l’Etat. Seule une dictature peut se permettre de s’en passer. C’est surtout lorsque la tentation de les réduire est grande qu’ils sont importants et qu’il faut y être particulièrement attentif.

Le droit doit poser des limites
Depuis les attentats de Paris, il est peut être nécessaire de revoir certaines mesures de prévention, y compris de renforcer les possibilités d’action de la police. Cela peut et doit se faire dans le respect des citoyens et de la Constitution. L’émotion ne doit pas conduire le législateur à adopter des normes qu’il regrettera ou ne contrôlera plus. Tout ce qui est techniquement réalisable n’est pas justifiable. On peut certes suivre les habitants d’une ville en permanence au moyen de caméras de surveillance et de leurs abonnements de transport public, connaître leur état de santé au moyen d’applications et d’appareils connectés, etc.

D’aucuns souhaitent avoir des citoyens transparents et tout connaître de leur vie. On peut néanmoins se demander qui est réellement prêt à vivre sans rideaux et dévoiler sa vie intime, qui est prêt à être présumé coupable en tout temps et toutes circonstances, qui est prêt à ne plus pouvoir penser à haute voix sans conséquences, qui est prêt à renoncer si facilement à des droits que d’autres ont défendus au sacrifice de leur vie. La Constitution donne à chacun le droit d’avoir une sphère privée et il faut un motif suffisant à l’Etat pour justifier une intrusion. Le soupçon de commission d’une infraction grave en est un et justifie des écoutes téléphoniques ou d’autres mesures. Un tel soupçon doit sans aucun doute aussi permettre la conservation de données. Le fait qu’une personne puisse éventuellement être soupçonnée dans plusieurs mois ne justifie en revanche pas la collecte systématique des données de tous les habitants du pays.

Augmenter massivement le nombre de données collectées n’en assure pas un meilleur traitement. Ficher un grand nombre de personnes permet tout au plus a posteriori de constater que la personne était fichée, mais guère plus. Dans le cadre de la lutte contre le terrorisme par exemple, on aura ainsi beaucoup de personnes à risques, mais trop pour que des mesures puissent être prises. Le volume de données à traiter conduira également à une qualité d’information plus faible et des dérapages plus fréquents, comme ce fut le cas avec la seconde affaire des fiches.

De nombreux reproches ont été faits aux américains pour leurs réactions suite aux attentats de 2001 mais la réaction européenne depuis Paris n’en est guère différente. Il y a quelques semaines la CJUE annulait le programme Safe Harbor en raison de l’accès indiscriminé des autorités américaines aux données transmises. Le Préposé suisse à la protection des données a suivi le même raisonnement.

Tracer tous les passagers aériens
La peur du terrorisme a pourtant eu raison des parlementaires européens qui mettaient en doute l’utilité et la légalité du PNR (Passenger Name Record) européen. Ce registre d’informations sur les passagers des compagnies aériennes contiendra des données (numéro de passeport, coordonnées, trajet effectué, nombre de bagages, moyens de paiement) pour tracer les terroristes. En réalité, il tracera surtout toutes les personnes qui voyagent en avion et établir des profils et des types de comportement déviants. Il fait peu de doute que ce programme ne respecte pas la jurisprudence de la CJUE et ne résistera pas à son examen.

Les parlementaires adoptent des lois dans le cadre des pouvoirs que leur donne la Constitution. Il est important qu’ils la respectent et prennent leurs responsabilités pour adopter des lois conformes. Si l’Etat ne respecte pas sa loi fondamentale, comment peut-il ensuite être crédible et espérer obtenir que des entreprises multinationales soient sensibles à ses demandes et se restreignent dans la collecte des données de leurs utilisateurs ?

Il arrive malheureusement parfois que des lois violent les droits des citoyens et dans ce cas il n’y a plus qu’à compter sur les tribunaux pour le constater. La Suisse ne connaissant pas de cour constitutionnelle, il ne reste dans un tel cas qu’à attendre qu’un tribunal doive se prononcer dans un cas particulier et refuse d’appliquer la loi. On peut alors espérer que le parlement fasse preuve de sagesse et respecte cette décision et accepte de corriger la loi. Pendant ce temps pourtant, nos données continueront d’être conservées illégalement.

Ce billet a été publié dans l’édition de l’Agefi du 10 décembre 2015

5 ans déjà

Il y a cinq ans, j’ai commencé à écrire quelques billets pour ce blog. Il y en a maintenant plus de 180 qui ont été publiés, et malgré plusieurs changements professionnels, j’essaie de continuer à vous fournir régulièrement un contenu que j’espère de qualité.

Le blog est aussi disponible à l’adresse blog.sylvainmetille.ch.

Avec le temps, le design du site était devenu désuet et inadapté aux tablettes et téléphones portables. Une petite mise à jour s’est donc imposée.

L’ancien design du site:

L'ancienne version

Que fait-on de nos données?

A l’occasion de la journée internationale de la protection des données, je vous propose exceptionnellement une vidéo, en l’occurrence celle d’un entretien que j’ai eu très récemment avec Xavier Colin pour l’émission Geopolitis produite par la RTS et TV5 Monde: Big Data, que fait-on de nos données.

Joyeux anniversaire!

Ce blog a quatre ans aujourd’hui et c’est l’occasion de jeter un œil dans le rétroviseur. Quatre ans, cela représente 160 billets. Autant de fois ou presque où il a fallu trouver un peu de temps libre pour traiter d’un sujet brûlant ou trouver un sujet intéressant à vous proposer pour assurer un contenu régulier. Autant de fois où il a fallu trouver un équilibre entre rigueur juridique, considérations techniques et avis personnel. Autant de fois où il a fallu s’assurer de vous proposer autre chose que ce que vous auriez déjà pu lire ailleurs.

C’est l’occasion de regarder aussi quels billets semblent les plus consultés. Mes déboires avec le service après-vente d’un fournisseur de matériel informatique vous ont apparemment passionnés, de même que les articles liés à Facebook (notamment le téléchargement et la suppression de ses données, ou encore l’adresse email Facebook qui elle a rencontré beaucoup moins de succès). La présentation de sujets techniques (Privacy by Design, Do not Track, données révélées par l’adresse IP, Big Data) est régulièrement consultée, ainsi que les articles parus dans des revues juridiques.

C’est l’occasion aussi de vous remercier pour votre intérêt et votre fidélité. Tenir un blog comme celui-ci, c’est prendre le risque d’avoir peu de retours et de se demander si l’on écrit dans le vide ou s’il y a des lecteurs. Le nombre de visiteurs me confirme que vous êtes présents. Des commentaires en ligne témoignent de votre intérêt. Mieux encore, lorsque quelqu’un m’aborde alors d’une conférence pour me dire qu’il est un fidèle lecteur. C’est arrivé quelques fois et cela m’a fait particulièrement plaisir.

Merci!

Cadre juridique pour les médias sociaux

Le Conseil fédéral vient de publier son rapport intitulé «Cadre juridique pour les médias sociaux» qui fait suite au postulat «Donnons un cadre juridique aux médias sociaux» déposé il y a deux ans par la Conseillère nationale Viola Amherd.

Le rapport dresse un bon panorama du droit en vigueur en Suisse et à l’étranger. En revanche, il est plutôt décevant et laisse un peu le lecteur sur sa faim s’agissant des propositions d’amélioration et de l’évaluation pratique des moyens légaux disponibles. Il confirme certes que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Ceci est une évidence mais qu’il n’est pas inutile de rappeler.  Le choix du Conseil fédéral de ne pas faire une loi spéciale pour les réseaux sociaux doit aussi être salué.

Des craintes sans réponses et surtout sans propositions
Le rapport indique à plusieurs reprises qu’il est à craindre que les dispositions légales ne puissent pas être appliquées (car le prestataire de services serait à l’étranger) ou qu’il y a des risques importants pour la sphère privée (même si la loi n’est pas violée), sans apporter de propositions pour améliorer la situation. On ressent un certain fatalisme alors que c’était peut-être le lieu idéal pour défendre les principes ancrés dans le droit suisse et s’assurer de leur application en suggérant de renforce ici et là les moyens à disposition des autorités et des utilisateurs pour faire appliquer le droit déjà en vigueur.

Ainsi selon le droit en vigueur, celui qui transporte des informations entre au moins deux autres parties au moyen de techniques de télécommunication fournit un service de télécommunication (art. 3 let. b LTC). Ce n’est en général pas le cas des exploitants de plateformes sociales, qui constituent plutôt l’une des parties entre lesquelles des informations sont transportées. Toutefois poursuit le Conseil fédéral, il existe des exceptions, où les exploitants de plateformes sont au moins co-responsables du transport d’informations entre des tiers, ce qui fait d’eux des fournisseurs de services de télécommunication au sens de la LTC. Le rapport donne en exemple le cas des messages envoyés par un membre de Facebook à un autre au moyen de Facebook-Messenger, avant de conclure qu’indépendamment du fait qu’il est difficile, avec les instruments actuels, de faire appliquer le droit national des télécommunications contre des exploitants de plateformes sans siège en Suisse et actifs au niveau mondial, de nombreuses dispositions du droit des télécommunications en vigueur ne sont de toute manière pas adaptées aux activités de ces derniers (p. 13)… Aucune proposition n’est toutefois formulée.

Le rapport mentionne qu’il y a aussi lieu de s’interroger sur la validité d’un contrat conclu entre les utilisateurs et les exploitants de plateformes et prévoyant expressément la conservation et l’utilisation non limitées dans le temps de tous les contenus publiés par les utilisateurs sur les réseaux sociaux et qu’il n’est pas exclu qu’un tel contrat puisse dans certains cas être qualifié de transaction juridique contraire au droit de la personnalité (art. 19 al. 2 et art. 20 al. 1 CO, art. 27 al. 2 CC), d’autant plus que les données publiées sur des réseaux sociaux et faisant ensuite l’objet de liens constituent souvent des données sensibles ou des profils de la personnalité et que la proportionnalité entre la prestation et sa contrepartie peut être mise en doute (offre d’une infrastructure de communications de la part de l’exploitant de la plateforme contre transfert très complet de droits d’utilisation des données personnelles de la part des utilisateurs) (pp 25-26). Les conséquences d’une telle illégalité et les mesures à prendre  (par l’Etat ou par l’utilisateur) pour l’éviter ne sont pas abordées non plus.

L’application du droit en vigueur
A plusieurs reprises, le rapport indique qu’il y a des moyens de défense en droit suisse (par exemple les dispositions sur les conditions générales abusives de la LCD ou le besoin de consentement au sens de la LPD). La mise en œuvre concrète de ces moyens aurait pu être analysée plus avant et des recommandations formulées pour en améliorer l’effet (augmentation des compétences et des ressources du préposé à la protection des données, possibilité de fixer des amendes, actions collectives, etc.).

En ce qui concerne le vol d’identité, le Conseil fédéral estime que le droit en vigueur couvre largement les délits liés à l’usurpation d’identité. Il n’est pas nécessaire d’ériger une infraction propre.

Responsabilité des intermédiaires
Le Conseil fédéral revient encore une fois sur la question de la responsabilité des fournisseurs de services qui permettent l’accès à un réseau et charge le Département fédéral de justice et police (DFJP) de voir s’il convient de légiférer sur la responsabilité civile des fournisseurs de services internet. La question de la responsabilité au niveau pénal ne devrait pas être réexaminée. S’agissant de savoir quelles règles du droit des télécommunications devront s’appliquer aux plateformes de médias sociaux, le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) traitera ces questions dans le cadre d’une prochaine révision de la loi sur les télécommunications (LTC). Cette question devrait toutefois aussi être prise en compte dans le cadre de la révision en cours de la LSCPT qui est déjà dans les mains du parlement…

Cachons-nous, les voitures Google reviennent !

En Suisse, l’affaire Google Street View commence en 2009 avec une recommandation du Préposé fédéral à la protection des données et à la transparence (PFPDT) que Google conteste. Le Tribunal administratif fédéral (TAF) est saisi et va encore plus loin en exigeant que l’intégralité des visages et des plaques d’immatriculation soient rendues méconnaissables, au besoin par un travail manuel. Google recourt alors au Tribunal fédéral (TF) et menace de fermer le service Google Street View en Suisse si le jugement du TAF n’est pas annulé.

Probablement indifférent à ces menaces, le TF rend un arrêt le 31 mai 2012 dans lequel il donne raison au Préposé mais admet que l’on ne peut pas exiger de Google un traitement manuel en vue d’atteindre un floutage à 100% et qu’une marge d’erreur minime peut être admise si d’autres conditions strictes sont remplies. Il s’agit en particulier de mettre en place une procédure simple et rapide pour obtenir la suppression des images, de mieux prendre en compte certaines zones sensibles, de réduire la hauteur des caméras de 2.80 m à 2 m (pour éviter de filmer par-dessus les haies et clôtures), etc. De plus, Google doit informer largement la population avant la prise de nouvelles images. Cela devrait être fait ces jours, puisque dès mercredi 8 mai 2013, les voitures Google rouleront à nouveau sur les routes suisses. Le calendrier avec les heures et les localités de passages est publié comme l’a exigé le TF.

Durant la procédure, Google n’avait guère enregistré d’autres images que celles de curiosités touristiques ou de pistes de ski plus ou moins désertes. Les images qui seront enregistrées ces prochaines semaines dans des villes et villages de toute la Suisse devraient être disponibles d’ici quelques mois et vont permettre de combler le retard pris par rapport à d’autres pays.

Quant à l’enregistrement d’informations sur les réseaux wifi non protégés (courriers électroniques, mots de passe, photos, etc.), Google a été condamné dans plusieurs pays. En Suisse, une enquête avait été ouverte par le PFPDT en 2011 et close assez rapidement, suite aux engagements de Google de ne plus enregistrer de telles données.

Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».