Avant-propos

Bilan et perspectives

L'année dernière, je terminais mon avant-propos en évoquant l'importance grandissante des traitements massifs de données (Big Data). Compte tenu des progrès technologiques, des énormes capacités de stockage, de la possibilité de transmettre rapidement d'importants volumes de données partout dans le monde et de la précision d'analyse obtenue, les informations deviennent une véritable matière première (le nouveau capital?) dans une société future dirigée par les données. Ce développement implique une mise en danger massive de la vie privée.

S'il ne fallait choisir qu'un seul exemple, mondialement connu, nous citerions les révélations d'Edward Snowden, qui a livré quantité d'informations concernant les méthodes de surveillance de la NSA au travers des documents qu'il a rendus publics.

Il s'en est suivi un débat à l'échelle planétaire sur la surveillance massive, non seulement possible mais bel et bien pratiquée, visant les citoyens au niveau mondial. La phrase bien connue «Qui n'a rien à cacher n'a rien à craindre» apparaît ici dans toute sa naïveté. Ce qui est étonnant, c'est la grande indifférence avec laquelle citoyens et politiques tolèrent ce scandale.

Nous devons cependant accorder une attention majeure aux outils de surveillance étatique et réfléchir aux contre-stratégies possibles. En effet, une chose est évidente: «l'homme transparent» n'est plus une chimère, c'est une réalité, et ce depuis longtemps. La numérisation de notre environnement impose une conséquence inéluctable: toute donnée est tôt ou tard accessible, que nous le voulions ou non.

Sur la question de la surveillance tous azimuts, il serait facile, comme le font beaucoup de commentateurs, de se concentrer seulement sur les services secrets. Car ce sont à présent aussi les entreprises du secteur privé qui exploitent de grands volumes de données. Car les données, c'est du business, de l'argent, du pouvoir.

Les montagnes de données recueillies sur une base privée continuent de croître et constituent le matériau qui permet aux acteurs économiques d'enquêter sur chaque individu, jusque dans les moindres détails, sur ses préférences, ses caractéristiques, ses forces et ses faiblesses. Si le secteur privé effectue lui-même ce genre d'analyses, il ne faut alors pas s'étonner que les autorités étatiques - et la NSA en est une parmi d'autres - puisent dans les informations ainsi mises à disposition.

Ces masses de données sont une source réelle de préoccupation car les capacités immenses des ordinateurs et les procédures d'analyse automatisées permettent aujourd'hui d'obtenir des indications précises et de tirer des conclusions sur le comportement actuel et futur des individus. Les modèles ainsi dégagés conduisent parfois à des résultats impressionnants.

Les corrélations établies ne doivent pas obligatoirement avoir un lien logique. Si le volume de données est suffisamment grand, l'algorithme pourra par exemple mener à un modèle prédisant avec une probabilité élevée que celui qui porte des chaussures jaunes a le crâne dégarni! On pourrait certes objecter ici qu'à première vue, le fait qu'on puisse établir la probabilité selon laquelle un individu au crâne dégarni porte des chaussures jaunes est relativement anodin au premier abord.

Je rétorquerai que par ce biais, il est possible de découvrir des actes ou des traits de caractère compromettants sur les personnes. Et que cela peut être dangereux parce que l'algorithme ne constitue jamais une donnée sûre et n'exprime en tout cas pas une causalité fiable, scientifiquement contrôlable. Il s'agit toujours d'informations qui peuvent s'avérer justes, avec plus ou moins de vraisemblance. Lorsqu'un algorithme livre des informations sur un comportement potentiellement criminel, les conséquences peuvent se révéler dévastatrices pour la personne. La situation de Monsieur X devient pour le moins inconfortable lorsque d'après les données disponibles, les services secrets dégagent un algorithme qui l'identifie comme terroriste. À cela s'ajoute que le résultat de cet algorithme peut concerner de nombreuses autres personnes si l'on passe au crible de l'algorithme une grande quantité d'individus. C'est ainsi qu'opèrent les services secrets comme la NSA, que l'imprécision de ces analyses ne dérange d'ailleurs pas outre mesure.

Dans le même contexte, de plus en plus d'appareils ménagers et autres équipements techniques fonctionnent en réseau, souvent à l'insu de leur propriétaire, et communiquent entre eux. On parle de l'«Internet des objets»: ces objets envoient très discrètement des données à leurs fabricants qui, à leur tour, transmettent ces informations à des tiers. C'est ainsi que les téléviseurs informent les chaînes de télévision que tel téléspectateur change de chaîne. Il existerait même des «télévisions intelligentes» qui inspectent les disques durs lorsqu'ils sont mis en service et envoient un index des données recueillies aux fabricants. L'Internet des objets, le gros fournisseur en big data de demain!

Le débat qui entoure la réutilisation de données issues du secteur public (open data) relève du même contexte. Les pouvoirs publics pourraient devenir des fournisseurs de big data. S'il est incontesté que cela générerait des plus-values considérables pour l'économie et la société, l'utilisation de ces données présente cependant le risque qu'elles puissent être associées à une personne précise en les combinant avec des informations supplémentaires.

Quelles sont les implications de cet état de fait dans l'optique des travaux - déjà entamés - de révision de la loi sur la protection des données?

Les spécialistes s'accordent à dire que le Big Data constitue un défi de taille pour la protection des données car il comporte d'énormes risques. Les mécanismes fondamentaux, techniques et légaux, de la protection des données sont vidés de leur substance. Comme le relèvent V. Mayer-Schönberger et K. Cukier, «Big Data»: «les big data peuvent faire de nous les prisonniers à vie de nos actes passés, lesquels sont utilisés contre nous lorsque des systèmes pensent pouvoir prédire notre comportement futur». Nous estimons qu'il faut examiner attentivement comment les principes fondamentaux de finalité et de transparence et les exigences relatives au consentement peuvent être respectés lorsque de grands volumes de données sont utilisés. Pouvons-nous par ailleurs autoriser l'exploitation d'importants stocks de données et leur interconnexion illimitée lorsqu'il s'agira de prendre, sur la base de probabilités, des décisions qui auront des répercussions négatives pour les individus?

Il ne fait aucun doute qu'à ce jour il n'existe aucun concept tant soit peu fiable sur la manière de répondre à ce défi. On pourrait par exemple examiner dans quelle mesure le droit fondamental numérique prôné par la juriste et auteure Juli Zeh est une voie envisageable. Pour elle, l'individu doit être seul maître de ses données personnelles et l'accès par des privés à son identité numérique ne doit être possible qu'avec son consentement. De plus, les interventions de l'État devraient être strictement limitées aux impératifs de la poursuite pénale.

De leur côté, Mayer-Schönberger et Cukier développent une autre approche: Ils proposent un contrôle formel, du point de vue de la protection de données, des applications du Big Data, mais requièrent en contrepartie que les exigences en matière de finalité et de consentement soient assouplies. Pour parer au danger que les prédictions des big data, ainsi que les algorithmes et les gros stocks de données sur lesquels elles reposent, deviennent une «boîte noire» sans responsabilités clairement établies, ils proposent de mettre en place une nouvelle autorité de contrôle. Telle une instance indépendante au même titre qu'un réviseur, un «algorithmicien» contrôlerait le choix des données, la qualité des instruments d'analyse et de prédiction, les algorithmes, les modèles mathématiques, ainsi que l'interprétation des résultats, et interviendrait si nécessaire.

La révision de la loi sur la protection des données s'impose d'urgence, car l'utilisation des big data est aujourd'hui un fait établi et remet en question des dispositions fondamentales de la loi actuelle. Il faut sans tarder mandater un groupe d'experts interdisciplinaire pour analyser la situation de manière approfondie et élaborer des solutions. Le Parlement a fait un premier pas dans cette direction en acceptant la motion Rechtsteiner. Une chose est sûre: si les politiques ne réagissent pas rapidement, le droit constitutionnel à la protection de la vie privée est menacé dans sa substance même!

Un dernier mot à propos de la loi sur la transparence: cette loi ayant été la cible de critiques de la part de différents acteurs de l'administration fédérale, l'Office fédéral de la justice en a mandaté l'évaluation. À diverses reprises, il a été avancé que bon nombre de ses dispositions entravent l'activité de l'administration. Des unités administratives entières demandent même à être exclues de son champ d'application. Nous suivons cette évolution avec inquiétude. Cette loi a été adoptée par le Parlement dans le but de rendre l'activité de l'administration plus transparente et, par là, de renforcer la confiance des citoyens dans les institutions de l'État. Nous percevons actuellement de grandes réticences dans le domaine des adjudications de marchés publics et des subventions lorsque la divulgation des documents concernés est demandée. À cet égard, le scandale qui a récemment secoué le SECO a montré de manière brutale la nécessité d'une plus grande transparence.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/21e-rapport-d-activites-2013-2014/avant-propos.html