BFM Business

Avis d'expert: "Big Brother, la protection des usagers est aussi l'affaire des sociétés marchandes qui utilisent ces données"

Stéphane Schmoll, DG de Deveryware.

Stéphane Schmoll, DG de Deveryware. - -

La présence de la géolocalisation dans les services utilisés au quotidien est en croissance constante. Les citoyens n’en sont pas toujours conscients. Faut-il s’en réjouir ou s’en méfier ? Stéphane Schmoll, dg de Deveryware apporte sa réponse.

Les innombrables abus commis par les publiposteurs, les spammeurs sur Internet et de rares mais spectaculaires déviances des écoutes téléphoniques ont abouti à légitimer la crainte de Big Brother, que l’on ne parvient d’ailleurs pas à nommer plus précisément. S’agit-il de l’Etat tout puissant et de ses services, d’officines d’intelligence économique ou de manipulation, de voisins ou de concurrents envieux, de conjoints ou de parents paranoïaques, d’assureurs, de banquiers, ou tout simplement de marchands du temple ?

Il était déjà assez notoire que par leur modèle économique même, Google, Facebook, Amazon et consorts ont patiemment entrepris de récolter le maximum d'informations sur nos vies privées pour les revendre à des annonceurs publicitaires, la législation américaine ne s'y opposant pas. Mais des affaires récemment mises au jour, telle que PRISM, ont révélé que des Etats eux-mêmes se permettaient de se servir dans les bases les bases de données de ces industriels de l'information.

L'essor de l'internet des objets pourrait démultiplier les risques

Déjà, sur Internet, la prolifération des cookies et autres agents plus ou moins intelligents et discrets, la vente de fichiers et les premières générations de traitement sémantique de nos transactions et requêtes ont abouti à des résultats aussi inquiétants que spectaculaires.

Ceux qui exhibent leur vie sur les réseaux sociaux et autres portails ou intermédiaires feignent d’ignorer qu’ils sont capables d’analyser, de connaître et d’anticiper bien des choses sur nous. L’essor de la géolocalisation, des smartphones et autres objets communicants pourrait démultiplier les risques si des garde-fous individuels et collectifs ne sont pas mis en place.

Les rares verrous mis en place, par exemple dans la loi du 28 mars 2014 sur la géolocalisation judiciaire, ne traitent que 20% des sources de données de localisation, qui tomberont à 5% lorsque l'internet des objets, dans quelques années, aura équipé chacun d'entre nous d'une dizaine de capteurs localisables directement ou indirectement.

Un premier exemple porte sur les applications pour smartphones qui permettent de téléphoner gratuitement à ses contacts en passant par la voix sur IP, ce qui est très facile dans les villes où pullulent hotspots WiFi et réseaux 3G. Mais personne ne s’est encore ému de ce que ces applications invitent toutes les personnes du carnet de contacts contenu dans votre téléphone et vice versa ; or, pour y parvenir, ces applications vont innocemment copier tous vos contacts sur un serveur central contrôlé par on ne sait qui ! En fait, on saurait, si on se donnait la peine de lire ce qui est écrit en clair, avant de s'en émouvoir.

Deuxième exemple : l’analyse et la transmission de la localisation d’un smartphone à des serveurs spécialisés leur permet jusqu’à présent de connaître nos déplacements les plus fréquents, où l’on habite, où l’on travaille, nos trajets les plus fréquents, pour nous envoyer des publicités à proximité d’enseignes offrant des promotions correspondant étonnamment à nos préférences de consommation et à nos habitudes. Cela sans que nous n'ayions vraiment l’impression de l’avoir autorisé. Sympathique, mais envahissant et terrifiant !

Quels gardiens peuvent-ils nous protéger ?

A ce jour, en France, les principaux gardiens institutionnels du temple des libertés sont, pour faire court, la Commission Informatique et Libertés (CNIL) et la Presse. Il existe aussi, fort heureusement, des acteurs industriels responsables.

Les principes de la CNIL, érigés dès 1978, ont été progressivement adaptés aux possibilités du numérique, avec l’appui tardif de la Loi aux niveaux français et européen. Mais la technologie avance tellement vite qu’elle parvient souvent à contourner les mécanismes prônés car plus leur formulation se veut générale, plus l’interprétation et l’apparition de nouveaux usages les rend caduques. A titre d’exemple, la notion de responsable de traitement, jadis relativement claire dans les chaînes d’intervenants linéaires, est devenue parfois insaisissable dans des systèmes coopératifs maillés mutualisant en permanence les données. De toutes façons, les éditeurs et opérateurs des services prêtant vraiment au doute sont souvent aux USA ou ailleurs et échappent aux vigiles communautaires.

Le 12 mars 2014, le parlement européen a judicieusement adopté un ambitieux projet de règlement sur la protection des données personnelles, visant à instaurer la démarche de "privacy by design", de donner aux citoyens davantage de contrôle sur leurs données personnelles, jusqu'au droit à l'oubli. La pratique du profilage sera limitée et les sanctions aux contrevenants iront jusqu’à 100 millions euros ou 5% du chiffre d'affaires mondial. Plutôt dissuasif !

Les solutions les plus efficaces viennent des professionnels

Sur Internet, informations réelles et rumeurs circulent librement. Assistée par les multiples forums, blogs et autres moyens d’expression et de relais de l’Internet, l'opinion va s’en nourrir et soigneusement les déformer, amplifier et entretenir par un bouche-à-oreille prétendument éclairé. Jadis, quand « ils l’avaient dit dans le poste » c’était vrai ; aujourd’hui, c’est vrai parce que c’est reproduit des milliers de fois sur le web.

Fort heureusement, les professionnels concernés, qu’il s’agisse d’annonceurs, de régies de transport ou d’autres offreurs de services, sont pour la plupart informés. D’une part, ils savent qu’on ne peut violer les libertés par hasard car la mise en œuvre des mécanismes techniques et opérationnels qui le permettraient est souvent lourde et complexe, voire même onéreuse. De plus, avant même les futures sanctions européennes, ils savent que la Loi Informatique & Libertés de 1978 punit lourdement (5 ans de prison et jusqu’à 1,5 M€ d’amende) les délits d’atteinte aux libertés individuelles et que le jeu n’en vaut donc pas la chandelle, surtout au regard du préjudice de réputation découlant de la publicité de ces jugements.

Tout aussi heureusement, le risque de rejet par les usagers des services dit intelligents ont poussé les professionnels à réfléchir ensemble, au niveau de leurs associations et syndicats professionnels, à des codes de déontologie ou de bonnes pratiques qui s’assurent que leurs adeptes s’abstiendront de tout abus, au risque d’être exclu, d'être désigné comme mouton noir, voire poursuivi par ses confrères.

Exemples : la Mobile Marketing Association France, qui regroupe des annonceurs, des agences, des opérateurs de réseaux et des prestataires techniques, a élaboré puis publié, après longue réflexion de ses membres et consultation de juristes spécialisés, un code de déontologie et un guide des bonnes pratiques du marketing mobile qui comporte plusieurs volets très éclairants.
L’Association Française des Correspondants aux Données Personnelles (AFCDP) qui regroupe les correspondants informatique et libertés (CIL) de grandes entreprises et de PME spécialisées ainsi que des chercheurs et des juristes, a de son côté créé dès 2009 un groupe de travail « géolocalisation et libertés».

Enfin, l'Institut Telecom a mis en place en 2013 une Chaire "Valeurs et politiques des données personnelles", qui étudie et anticipe les évolutions des technologies, de la sociologie, du droit et de l'éthique dans ces domaines dont fait parie la géolocalisation, avec le soutien d'acteurs très impliqués tels que BNP Paribas, l'Imprimerie Nationale, Dassault Systèmes, Deveryware et surtout la CNIL.

La loi n'innove pas mais consacre les bonnes pratiques

Les usages conditionnent la sociologie et leur fait précède le droit, qui fait de son mieux pour courir derrière. La morale reste muette face à des pratiques si innovantes. Un principe tel que "Ne fait pas à autrui ce que tu ne voudrais point qu’il te fasse" peut encore servir de repère éthique, mais c’est la déontologie professionnelle et personnelle qui peut s’adapter le plus vite, par intérêt ou par prévention. Le droit s’en inspirera ensuite, ne serait-ce que par l’entremise de la jurisprudence.
Les solutions sont donc là. Elles découlent du développement de bonnes pratiques professionnelles, dans l’éducation des utilisateurs et leur apprentissage d’une hygiène numérique, et si nécessaire, dans la loi. Avant et au-delà de la loi, les professionnels peuvent établir ensemble un référentiel servant de base à la délivrance de labels pouvant d'ailleurs être confirmés par la CNIL.

Le titre de l'encadré ici

|||Stéphane Schmoll, 59 ans, ingénieur centralien, est Directeur général de Deveryware, PME, créée en 2003 et réalisant un CA de 10 millions d'euros, spécialisée dans les applications de géolocalisation pour les administrations et collectivités territoriales, dls entreprises et les particuliers.

Il participe aux organes de pilotage de plusieurs pôles de compétitivité et de l’Agence nationale de la recherche, et est membre actif du Haut comité français pour la défense civile (HCFDC), du GICAT, du Cybercercle, du Comité Richelieu, et de la Chaire Valeurs & politiques des informations personnelles de l’Institut Mines-Telecom.

Il contribue régulièrement à divers colloques sur la sécurité ou les applications grand public, à la revue Sécurité & Défense et aux ateliers du centre de recherche des officiers de la Gendarmerie nationale, dont il est Colonel dans la réserve citoyenne.
Il est également Président de la commission stratégique du Conseil des industries de la confiance et de la sécurité (CICS) dans la filière nationale de sécurité.

Stéphane Schmoll (Deveryware)