Koen Maris

Le droit à l’oubli: ‘Les habits neufs de l’empereur’?

Koen Maris Chief Technology Officer - Cyber Security chez Atos  

Chaque fois que j’assiste à une présentation sur le GDPR, alias le General Data Protection Regulation (règlement général sur la protection des données) qui entend garantir plus de confidentialité au consommateur, j’ai la même indéfinissable sensation que celle qu’a dû ressentir le petit garçon en voyant parader devant lui l’empereur ‘dans ses nouveaux habits’: personne d’autre ne voit-il donc qu’il est nu? Ce qu’on pourrait traduire en termes GDPR par: personne ne se rend-il compte que le droit à l’oubli est vraiment une grande illusion?

Personne ne se rend-il compte que le droit à l’oubli est vraiment une grande illusion?

La teneur du GDPR est évidemment une affaire d’avocats qui n’ont que peu, voire aucune notion de la réalité technique et du monde numérique actuel. On évolue depuis quelque temps déjà d’un ‘internet of things’ vers un ‘internet of me’, où chaque aspect de notre vie est lié d’une manière ou d’une autre à internet: de notre TV, en passant par nos appareils fitness, jusqu’à notre pèse-personne. Chacun de ces appareils et des services connexes se doit de vous demander votre autorisation pour utiliser et/ou partager certaines données vous concernant avec des tiers. Qui donc, au nom du ciel, peut bien retenir tout ce pour quoi il/elle a donné son autorisation et à qui? Devons-nous établir des listes dans ce but? Et devrons-nous bientôt donner notre approbation pour chaque utilisation individuelle de nos données, de sorte qu’une case ‘je suis d’accord’ globale soit remplacée par des dizaines d’autres qu’il faudra décocher séparément? Car c’est ce que l’application stricte du GDPR prévoit en réalité sous le dénominateur ‘privacy by design’.

Numéro de registre national: l’infraction ultime au GDPR

En fait, le problème est même enfoui plus profondément encore dans notre société. Il suffit de penser ici à nos services publics et à leur foison de formulaires. Cela débute déjà avec le numéro de registre national qui permet de connaître notre âge. Un choix effectué, il y a bien longtemps, mais en ces temps où la confidentialité prend de plus en plus d’importance, cela a aussi d’énormes conséquences. A-t-on besoin de sa date de naissance, lorsqu’on remplit sa déclaration d’impôts? Pas du tout et pourtant, elle s’y trouve. Ce n’est du reste pas la seule information mentionnée sur la plupart des documents publics: quasiment toujours, on vous y demande votre nom, adresse, date et lieu de naissance. Une bénédiction pour les fonctionnaires administratifs? Peut-être bien, mais en tout cas une bénédiction pour les pirates aussi. Lors de chaque piratage réussi, le hacker reçoit en cadeau des renseignements supplémentaires sur vous, qui n’étaient même pas nécessaires pour le traitement du document que vous avez rempli. Tout semble indiquer que le GDPR fonctionnera à deux vitesses: de manière stricte pour les entreprises commerciales et de façon nettement plus tolérante pour les services publics.

Le droit à l’effacement? Tout simplement dangereux

L’une des plus importantes dispositions du GDPR, c’est le droit à l’oubli. Mais qu’est-ce que cela signifie exactement? Pour beaucoup, il s’agit là du ‘droit à être effacé’, mais quelqu’un a-t-il jamais pensé que cela peut être dangereux? J’en ai fait moi-même déjà l’expérience, et je ne suis pas le seul, loin de là: quand quelqu’un de votre proche entourage décède et qu’on supprime par erreur votre nom du registre national au lieu de celui de la personne décédée, il peut s’écouler parfois des années avant que problème soit résolu. Et si vos données sont effacées pour de bon, cela devient encore plus complexe, jusqu’à devenir une situation kafkaïenne. Un exemple pratique côté entreprise: un collaborateur quitte votre société et exige que tous ses données non-fiscales (en d’autres mots toutes les données liées à ses prestations et évaluations) soient effacées. Un peu plus tard, un autre collaborateur souhaite consulter ce type de données pour se livrer à du ‘benchmarking’ axé sur les performances, les conditions générales, etc. Ce n’est alors plus possible car ces données ont disparu pour de bon.

En outre, ce droit à l’oubli contrevient à d’autres droits et devoirs. Pensons ici au devoir des entreprises télécoms de conserver toutes les données de leurs clients pendant deux ans au minimum. Comment pourraient-elles le faire, si j’exige d’elles qu’elles suppriment mes données pour de bon? Quand je pose ce genre de question à des experts GDPR, je n’obtiens jamais de réponse satisfaisante. Inquiétant, non? Mais compréhensible aussi étant donné que toutes sortes de mesures d’exception seront introduites dans la loi, qui videront lentement mais sûrement l’idée de sa substance et exempteront donc certaines branches industrielles de certains devoirs.

Le GDPR ne contient du reste encore aucun autre sujet brûlant. Comme la fameuse obligation de ‘breach notification’ par exemple, qui impose aux entreprises de signaler immédiatement tout piratage ou perte de données aux instances officielles. Mais comment procéder exactement en tant qu’entreprise? Aux Pays-Bas, où le GDPR a été converti en une loi coercitive, on voit déjà apparaître cette problématique. Certaines entreprises informent même les services publics compétents, lorsqu’elles ont envoyé par mégarde un courrier papier à quelqu’un d’autre que la personne voulue car cela aussi, c’est une fuite de données. D’autre entreprises ne voient par contre aucune raison de prendre contact avec ces services, parce qu’elles ne savent pas quand elles doivent signaler ou non un incident. Cette deuxième catégorie agit donc en fait dans l’illégalité. De plus, un incident si limité soit-il peut avoir d’importantes conséquences. Les autorités néerlandaises craignent en fait qu’on ne voie que le sommet de l’iceberg. Quoi qu’il en soit, c’est également un aspect loin d’être évident du nouveau règlement. Les instances exécutives devront donc oeuvrer des années encore en matière de jurisprudence et de ‘use cases’ pour en arriver à une situation plus claire.

Le GDPR incompatible avec la chaîne de blocs

La technologie de la chaîne de blocs est basée sur la tenue à jour et sur la capitalisation des transactions du passé.

Précédemment, j’évoquais le danger de l’effacement des données. Mais sur le plan technique, cela peut avoir aussi un énorme impact. Chaque informaticien sait qu’effacer vraiment des enregistrements (‘records’) peut avoir pas mal d’effets sur l’intégrité d’un fichier. Et la situation s’est encore complexifiée avec l’arrivée de la technologie ‘blockchain’ par exemple. Celle-ci est basée sur la tenue à jour et sur la capitalisation des transactions du passé. Il n’est ici pas possible de supprimer soudainement les données d’une seule personne sous peine que tout le système s’écroule à la façon d’un château de cartes. La chaîne de blocs est toujours plus souvent utilisée pour des applications financières comme le bitcoin, mais aussi dans d’autres secteurs. Si le GDPR y est appliqué, cela pourrait impacter gravement les entreprises et leurs clients.

Je me ferais moins de souci à propos de ma confidentialité que de l’intégrité de mes données.

‘Think about privacy, worry about integrity’

Au sujet de toutes les déclarations et autres présentations relatives au GDPR, je ne peux me défaire de l’impression qu’on pense plus aux opportunités commerciales qu’à l’intérêt des citoyens. Garantir le respect de la vie privée est en soi un objectif noble, mais j’espère qu’entre-temps, il est clair pour tout le monde que c’est loin d’être gagné. En tant que personne privée, je me ferais moins de souci à propos de ma confidentialité que de l’intégrité de mes données. Les stars du cinéma l’ont par exemple déjà compris. Lorsque George Clooney a organisé son mariage à Venise, il savait parfaitement que sa confidentialité serait difficilement respectée. Il a donc choisi la meilleure option: veiller à l’intégrité des photos prises lors de la noce. Chaque invité reçut un appareil photo de Clooney en personne, avec lequel il pouvait effectuer des prises de vue à son gré. Le but? Garder le contrôle des données envoyées à l’extérieur. Les appareils étaient ce qu’on appelle des ‘burner phones’, à savoir des appareils jetables qui ne sont utilisés qu’à une seule occasion. Il a ainsi pu contrôler l’intégrité des images envoyées dans le monde entier. C’est là le modèle auquel nous devons aspirer en tant société: you should think about privacy, but you should really worry about integrity! (pensons certes à la confidentialité, mais soucions-nous avant tout de l’intégrité)

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire