"L’affaire Facebook-Cambridge Analytica montre que nos données personnelles ont un impact collectif", pointe Jacques-François Marchandise, de la Fing
Délégué général de la Fing, think tank sur les transformations numériques, Jacques-François Marchandise revient sur le scandale Facebook-Cambridge Analytica. Une "catastrophe industrielle inévitable" qui traduit "une situation hors de contrôle" et "montre bien que nos données personnelles ont un impact collectif".
L'Usine Nouvelle - Quel regard portez-vous sur l’aspiration de 50 millions de comptes Facebook par Cambridge Analytica ?
Jacques-François Marchandise - Nous avons du mal, à la Fing, à être surpris. Cela fait des années que nous répétons que les dispositifs de collecte massive de données personnelles comme Facebook rendent les catastrophes industrielles inévitables, qu’il s’agisse de malveillance, d’incompétence, d’accident ou, en l'occurence, d'une exploitation "limite" du modèle d'affaires, qui n'alerte même pas Facebook de prime abord. Il y en aura d’autres.
Les mesures présentées par Mark Zuckerberg vous paraissent-elles de nature à prévenir les problèmes ?
Je ne vois pas du tout comment ce serait possible d’empêcher de telles catastrophes. Plus les données personnelles sont diffusées dans les systèmes d’information, plus la situation devient hors de contrôle. Le cas de Facebook illustre le résultat du croisement de la quantité exorbitante de données accumulées par cet acteur et de la promesse du big data selon laquelle les données sont une mine d’or. Que les données circulent à l’insu des usagers, c’est la sanction.
Cette affaire ne montre-t-elle pas que le risque de partager ses données personnelles ne se résume pas à recevoir des pubs ?
La modélisation statistique, dont le machine learning de l’intelligence artificielle, bâtit des modèles décisionnels sur ces données, allant très au-delà de l'exploitation publicitaire. C’est déjà courant dans les ressources humaines, l'assurance, la finance et c’est le cas avec Cambridge Analytica. En outre, mes données personnelles ne sont pas seulement les miennes. Quand je les partage sur Facebook, j'engage aussi ma famille, mes amis, mes employés, etc. Cette affaire montre bien que nos données personnelles ont un impact collectif.
Comment expliquez-vous l’apparente insouciance avec laquelle nous partageons nos données ?
D'une part, c'est la clé de nombreux services de la vie quotidienne - et c'est un problème. D'autre part, il y a un manque flagrant de culture numérique, d'apprentissage, de médiation. Nous faisons comme si nous étions pour toujours dans des pays démocratiques avec des opérateurs bienveillants… On peut espérer que cet événement va avoir un impact pédagogique mais il faut développer la culture de la donnée, dans l'éducation et auprès des adultes.
Le risque se résume-t-il à la malveillance d’entreprises ?
La masse de données personnelles en circulation nous fait craindre de multiples usages imprévus. Le plus stressant aujourd’hui, ce ne sont pas seulement les Etats ou les grands acteurs privés, c’est aussi Little Brother : l’espionnage entre pairs. Il y a une grande variété de cas de figures dans lesquels les données personnelles permettent l’espionnage par une entreprise concurrente, par un conjoint jaloux, un voisin malveillant…
Quel est votre point de vue sur le Règlement général sur la protection des données (RGPD) qui entrera en application en Europe le 25 mai?
Le RGPD est une règlementation absolument fondamentale. Le texte est très proche de la doctrine de la Cnil [Commission nationale de l’informatique et des libertés, NDLR] tout en la rendant plus opérationnelle et en créant une situation homogène dans toute l’Europe. En outre, l’extra-territorialité introduite par le texte est un élément très important. Le RGPD s’appliquera par exemple à un acteur américain comme Facebook pour ses usagers européens.
Le RGPD peut-il changer la donne en matière de données personnelles ?
Le RGPD peut être une occasion manquée s’il se résume, comme cela est en train de se passer, à une simple mise en conformité technique et juridique. Pour qu’il ait un vrai impact, il faut qu’il devienne actionnable. Le droit à la portabilité, qui permettra à chacun de récupérer ses données pour migrer sur une autre plateforme qui soit plus respectueuse de la vie privée, est par exemple crucial. Mais pour que les individus s’en saisissent, il faut que ce droit soit diffusé et expliqué. Il faut qu’il y ait une offre de services en face, que les entreprises se saisissent de la proposition de valeur contenue dans le RGPD.
Le respect de la vie privée peut être source de valeur…
C’est un axe majeur de notre travail à la Fing. Il ne s’agit pas seulement de protéger les données personnelles mais aussi de les considérer comme un champ d’innovation et de création de valeur, en particulier du point de vue des personnes. Nous travaillons ainsi sur le self data, soit des outils qui permettent à l’individu de maîtriser leurs données personnelles, de les comprendre et de les utiliser et ainsi de participer à l’innovation qu’elles permettent pour en bénéficier. Notre projet pilote MesInfos expérimente ainsi le potentiel du self data avec 2 000 testeurs. Des opérateurs comme Orange ou la MAIF leur restituent leurs données personnelles dans un espace sécurisé au sein duquel ils peuvent faire tourner des applications proposées par des développeurs, sans mettre en danger la vie privée.
Propos recueillis par Manuel Moragues