Protection des données : les nations-unies de la data ne sont pas près d'advenir

Meta a été condamné à une amende de 1,2 milliard d'euros pour négligence envers ses 390 millions d'utilisateurs européens. L'impact mondial de cette décision est sous-estimé et une solution politique semble improbable

La décision Meta est à présent dans l’esprit de la plupart d’entre nous : une amende 1,2 milliard d’euros infligée à Meta pour s’être montré négligent dans la recherche d’une solution à même d’éviter la surveillance de masse de ses 390 millions d’utilisateurs européens. Certains y voient un conflit politique, d’autres les velléités d’un protectionnisme aigu.

Beaucoup oublie au passage que la décision a probablement plus d’impact pour les autres, ceux qui ne vivent ni aux Etats-Unis, ni au sein de l’Union. La solution ne sera vraisemblablement pas politique. Elle ne l’a peut-être jamais été. Que ce soit à court ou à moyen terme, les nations-unies de la data ne sont pas près d’advenir.

"Un chemin ne se décrète pas, il se sécrète"

A l’instar du poète Antonio Machado, pour avancer, il faut commencer par tous se mettre en marche. Tous, car il serait faux de croire que ce difficile exercice est limité aux seules GAFA, ou aux pays n’offrant pas de protection essentiellement équivalente à celle offerte par l’Union européenne. Quelle entreprise n’a-t-elle pas aujourd’hui un fournisseur, un client, un bureau ou une filiale à l’international ?

Osons poser la question à nos organisations respectives : quelles données avons-nous réellement besoin de transférer versus aimerait-on transférer ? La minimisation des données, c’est avant tout savoir se contenter du minimum.

Le registre de l’article 30 du RGPD devrait nous orienter sur ce point. C’est peut-être le moment de détailler ce registre, et d’utiliser des technologies de type DLP (data loss prevention) ou autres pour cartographier nos flux des données.

Posons également la question de savoir si les personnes ayant besoin d’accéder à l’ensemble des données peuvent être localisées dans des pays dits "adéquats" ? Car dans le groupe d’élites des pays adéquats, il n’y a pas que l’Union européenne, le Royaume-Uni, la Suisse… Il y a aussi le Canada (non loin des Etats-Unis), le Japon en Asie, l’Uruguay en Amérique Latine, l’Israël au Moyen-Orient, etc. Pour autant la localisation est loin d’être la seule solution, et le RGPD est très clair à ce sujet.

Les principes de minimisation et de transparence comme pierres angulaires du droit à la vie privée

Rappelons que Spiekermann et Cranor différencient la protection des données via l’architecture (privacy-by-architecture) de celle via les politiques (privacy-by-policy). La première vise la minimisation, l’anonymisation et le traitement par le client alors que la seconde vise à appliquer des politiques et des procédures dans le traitement des données. Ces doivent être au centre d’un système respectant la protection des données.

A l’instar d’Hoepman, que chacun identifie des stratégies particulières : minimiser, séparer, abstraire, cacher et mettre en œuvre des stratégies orientées sur les procédures : informer, contrôler, appliquer, démontrer. Ces principes sont déjà inscrits dans l’ISO 27550, de 2019, passé jusque-là relativement inaperçu.

Enfin, intéressons-nous au nouveau standard ISO 27559 sur la désidentification, l’un des moyens pour faciliter l’utilisation des données non-identifiables et ne compromettant pas le droit à la vie privée. L’utilisation de ces techniques serait à même de supporter la conformité règlementaire, et de régler les problèmes posés par les transferts internationaux.

La désidentification requiert une analyse de l’environnement et des circonstances dans lesquelles les données doivent être disponibles aux destinataires des données. Si chacun d’entre nous commence par militer pour l’implémentation de ce standard dans nos entreprises respectives, la minimisation des données ne pourrait qu’en sortir grandie. N’oublions pas non plus que le chiffrement des données reste une solution.

Militer pour une plus grande protection

Nous devons continuer à militer pour une plus grande protection, pour notre droit à la vie privée, et pour nos autres droits de l’Homme. Le droit au recours dont il est tant question dans le cadre de la décision d’adéquation UE/US doit rester ancré au sein de nos revendications, quelques soient nos origines et notre localisation.

Le communiqué du G7 d’Hiroshima est criant sur ces nouvelles nécessités : "garantir la résilience et la sécurité économiques au niveau mondial reste notre meilleur moyen de protection contre l’instrumentalisation des vulnérabilités économiques. […](et) lutter contre les pratiques malveillantes afin de protéger les chaînes d’approvisionnement mondiales contre l’ingérence, l’espionnage, les divulgations illicites de renseignement et le sabotage sur la toile."

In fine, osons simplement affirmer notre responsabilité et notre détermination communes pour améliorer la confiance dans nos nouvelles technologies, et sortir de la controverse stérile de la surveillance américaine versus un protectionnisme aigu, dans un monde qui n’en demeure pas moins largement soumis aux alliances de surveillance.