‘Le gouvernement doit prendre ses responsabilités dans la protection de notre confidentialité’

Après que l’Autorité de protection des données ait jugé que la banque de données du SPF Finances enfreint la loi sur le respect de la vie privée, Lise Devloo demande que le gouvernement prenne ses responsabilités. “Nous pouvons tirer les leçons de la façon dont le gouvernement néerlandais aborde la collaboration avec Microsoft.”

Suite à de nombreuses plaintes (dont une déposée par moi-même), l’Autorité de protection des données (‘APD’) a examiné la base de données juridico-fiscale FisconetPlus Contrairement à toute autre législation librement consultable sur le site web ejustice, connu pour sa présentation assez archaïque, notre gouvernement a décidé de stocker la législation fiscale dans un SharePoint de Microsoft. Pour avoir accès à la législation, les juristes, comptables, mais aussi tout qui s’intéresse à la fiscalité, doivent donc créer un compte Microsoft. Outre la question de savoir si cette pratique enfreint ce qu’on appelle la promulgation de la législation, il nous faut aussi envisager les effets que cela peut avoir sur la protection de nos données personnelles.

Il y a moins d’un an, je plaidais encore pour que l’on conscientise davantage la population au respect de la vie privée, mais il m’apparaît à présent qu’il n’y a pas que le ‘citoyen lambda’ qui est concerné ici. A quelques exceptions près, dont toutes les personnes qui se sont plaintes auprès de l’APD, personne n’a paru se poser des questions à propos de cette nouvelle initiative. Quoique.

A la demande parlementaire posée par député Van Hees à propos du traitement des données par Microsoft, qui fournit le SharePoint pour FisconetPlus, le ministre compétent de l’époque Van Overtveldt répondit en effet que les gens pouvaient le cas échéant créer aussi un compte sous un faux nom, afin de ne pas dévoiler leur vraie identité. Cela en dit assez long.

‘Je fais, donc je suis’

Le concept de confidentialité (‘privacy’) se concentre encore trop souvent sur le fait pour quelqu’un de décliner son nom pour s’identifier. L’identité, c’est cependant bien plus qu’un nom. C’est ‘faire et être’: comportement de navigation, d’achat, de mobilité, attitude au travail. Toutes ces habitudes et comportements sont en soi déjà suffisants pour identifier quelqu’un et pour tenter de prévoir un comportement futur spécifique. ‘Je fais, donc je suis.’ Sur base de nos agissements, toutes sortes d’instances veulent vérifier comment nous pensons et donc comment nous ‘sommes’. La seule déclinaison d’un faux nom ne suffit donc pas pour dissimuler une identité.

Nous sommes espionnés, et ce n’est évidemment pas seulement de notre propre faute, mais c’est aussi celle de nos décideurs politiques, qui ne voient pas ou ne veulent pas voir que le transfert de données peut être parfois simplement inutile, voire dangereux dans le pire des cas. Dans un récent débat dans le cadre du programme flamand ‘Nachtwacht’, le sociologue Ben Caudron et la spécialiste en AI Mieke De Ketelaere affirmèrent également que nous devons utiliser davantage notre bon sens, avant de (faire) fournir des données. J’espère donc que nos décideurs politiques sont prêts eux aussi à apprendre ce que signifient vraiment les notions de protection des données et de respect de la vie privée et pourquoi elles valent la peine que l’on prenne fait et cause pour elles.

On peut tirer des leçons de la manière dont le gouvernement néerlandais aborde la collaboration avec Microsoft. Après l’exécution d’un Data Protection Impact Assessment (une analyse de risque obligatoire que le responsable du traitement – en l’occurrence le gouvernement – doit réaliser avant de traiter des données personnelles à grande échelle), il s’est avéré que Microsoft va nettement trop loin au niveau de la collecte et du traitement ultérieur des données des utilisateurs. Le gouvernement néerlandais a par conséquent entamé des négociations et ne s’associera pas à Microsoft, avant que cette dernière ait pris les mesures nécessaires pour protéger les données des fonctionnaires, mais aussi des citoyens néerlandais.

C’est donc possible. Les autorités ont bien la responsabilité et la force négociatrice pour nous protéger, nous les citoyens, contre des instances – privées ou publiques, grandes ou petites -, qui veulent utiliser nos données. Nous devons le faire comprendre à notre gouvernement et l’y encourager. Sans protection de nos données personnelles et de notre identité, il n’est pas possible de garantir notre démocratie. Suite aux déballages des années écoulées, on devrait quand même bien le savoir à présent.