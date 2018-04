"M. Zuckerberg, vous sentiriez-vous à l’aise pour nous dire dans quel hôtel vous êtes descendu hier soir ?" Cette question d'un sénateur à Mark Zuckerberg et la réponse du PDG déstabilisé - "Euh, non" - ont marqué son audition historique, mardi, au Sénat. Docteure en droit, enseignante-chercheure à l’Ecole de Management de Grenoble et chroniqueuse "juri-geek" pour The Conversation, Nathalie Devillier a suivi ces cinq heures d'interrogations inédites.

Cette audition sans précédent de Mark Zuckerberg marque-t-elle un tournant dans la considération de nos données personnelles ?

J'espère. En tout cas, il est clair que dans l'esprit des sénateurs cet électrochoc agit comme une révélation. On a même l'impression que certains découvrent le fonctionnement de Facebook et des modules sociaux qui permettent de suivre un internaute alors même qu'il n'est pas connecté à la plateforme. Alors que pour d'autres il est très clair que l'intelligence artificielle est déjà en relation avec les réseaux sociaux et donc questionne les limites de la vie privée pour un utilisateur.

Là, il y a déjà un questionnement sur la "privacy" à l'américaine, qui atteint semble-t-il ses limites en comparaison de la conception européenne, qui d'ailleurs a été mentionnée à plusieurs reprises. Une référence a été faite au règlement européen sur la protection des données personnelles qui entrera en application en mai. On voit que cette question de la vie privée des utilisateurs est en train de franchir un cap.

Pensez-vous que la conception de la vie privée de Mark Zuckerberg, de Facebook, a, est en train d'évoluer ?

Sa conception à lui, je ne le crois pas. Car très souvent dans ses réponses il a renvoyé à ses équipes d'experts. Sa réponse s'est aussi tournée très souvent autour du fait que son service est gratuit et financé par la publicité. On le sait déjà : ce service est gratuit et prédateur, donc automatiquement les données vont être réexploitées. En revanche, il n'y a pas vraiment de compréhension que le réseau social est en réalité coresponsable du mésusage des données captées par le réseau pour des finalités autres que celle de mettre en relation les personnes. Et donc que la confiance des utilisateurs est trahie.

Quand une sénatrice lui demande si Facebook a pu alimenter la société d'intelligence artificielle en relation avec le monde du travail Palatine Analytics, il répond tout simplement qu'il ne sait pas ! Je trouve très surprenant pour un PDG jeune et très créatif d'avoir une absence de conscience sur la contribution de son réseau à des problématiques qui le dépassent. Il n'y a pas vraiment de prise de conscience franche. Est-ce que c'est de l'ignorance ?

Et je pense que l'on pourra lui demander plus de comptes le jour où il sera mis devant le fait accompli, les preuves, après enquêtes. Peut-être comme pour l'industrie du tabac.

Vous diriez que nous vivons une prise de conscience mondiale avec le scandale Cambridge Analytica et ses conséquenceOui. Mais surtout, il y a finalement cet affrontement entre une perception économique, patrimoniale, de la vie privée, entre les mains des entreprises privées nord américaines, et la protection de droits fondamentaux et donc de l'usager et du consommateur dans l'Union européenne. Finalement, ces deux visions vont peut-être converger. C'est ce qui ressort des commentaires et de la formulation de certaines questions des sénateurs.

Mais je crains que l'on soit dans l'instantanéité du phénomène "Je quitte Facebook" et que tout cela retombe un peu à plat. En plus, pour changer de réseau social, il faudrait motiver tous ses amis à aller vers un autre réseau social. Cela me paraît compliqué.

Et quand un sénateur met en garde les réseaux à propos d'une possible réglementation à venir ? C'est possible, c'est de la communication politique ?

On peut y voir la fin de l'autorégulation des GAFAM (Google, Apple, Facebook, Amazon, Microsoft). Initialement, les entreprises sont libres de développer leurs politiques de vie privée, à condition de respecter les consommateurs. Mais on a vu, notamment depuis le démantèlement d'AT & T, que la Federal Communications Commission a énoncé clairement que les utilisateurs doivent donner leur consentement explicite pour que leurs données soient vendues, utilisées et partagées. C'était un revirement sans précédent.

Et c'est convergent avec des décisions de la Federal Trade Commission qui, par exemple, a sanctionné une brèche de sécurité dans le domaine de la santé. L'assureur Anthem avait connu en 2015 une faille de sécurité pour les données de 79 millions d'Américains. L'amende a battu un record à 115 millions de dollars !

Cela montre bien qu'un vide législatif est comblé de notre côté avec le règlement européen RGPD, mais que cela fait défaut dans le système américain et que ce besoin de protection est en train de s'affirmer. Parce que l'"on a touché le fond" avec Cambridge Analytica on ne peut que rebondir et réagir en se saisissant du problème. Ce serait une belle opportunité pour le Congrès américain de prendre position et les citoyens américains ne peuvent être que demandeurs. Pourquoi n'auraient-ils pas une protection comme en Europe. Tout cela est déjà bien traqué par la Federal Trade Commission. Cela servira peut-être de développement futur pour une législation un peu plus large sur les différents concepts que l'on pourra mettre dans cette protection de la vie privée des internautes.

Pour les grands du numérique, ces réglementations, comme le RGPD, sont des contraintes amplifiées ?

C'est perçu par les industriels comme une forme de contrainte, mais le leitmotiv du règlement européen est la libre circulation des données. C'est la protection des individus et c'est surtout la transparence. C'est dire quand je suis en train de collecter des données et lesquelles, avec une connotation éthique. Je suis transparent et loyal. Ensuite, que fais-je avec ces données, quel algorithme j'applique et pour quelle finalité.

Avec Cambridge Analytica, on a une violation du principe du respect des finalités, en terme éthique, à tous les niveaux : collecte, traitement et utilisation secondaire.

Avoir cette transparence, pour un réseau social, pour une entreprise qui demain va faire de l'intelligence artificielle, notamment dans la santé, sera un plus. Ce sera un avantage compétitif.

Donc toutes ces entreprises, y compris les GAFAM, qui voient le règlement comme une contrainte feraient bien d'y voir au contraire une opportunité pour se démarquer et pour construire cette relation de confiance avec les usagers, qui aujourd'hui fait cruellement défaut.

A propos des conditions d'utilisation de Facebook, un sénateur a parlé de "contrat de service qui craint". Il va évoluer, en particulier avec le règlement européen ?

Ce contrat doit être audité. Toutes les entreprises qui opèrent dans le numérique doivent auditer leur premier contrat : leurs conditions générales d'utilisation, conditions générales de vente et très souvent, à côté, un document de politique de confidentialité. Ces documents étant, c'est vrai, souvent longs : environ une dizaine de pages, voire plus. Ces éléments doivent être mis en conformité avec le règlement européen pour refléter les droits accordés aux usagers : information, accès, rectification, effacement aussi des données, et portabilité. Sans oublier l'opposition au traitement et au profilage.

Les entreprises nord américaines devront aussi être très claires si ces données sont transférées sur des serveurs dans la Silicon Valley par exemple. Et le règlement européen est applicable pour tout particulier situé sur le territoire de l'Union, quelque soit la nationalité de l'entreprise ou son siège social, établi au Lesotho ou au fin fond des Caraïbes, peu importe !

La porte d'entrée des conditions d'utilisation ne devrait-elle pas être plus contraignante, pour s'assurer que les utilisateurs les lisent vraiment ?

Je pense qu'il faudrait effectivement remplacer ce système d'ascenseur que l'on descend avant de cocher en bas, sans rien regarder. Peut-être trouver un code couleur, un feu tricolore, qui garantirait à l'utilisateur pour un jeu, une application ou un réseau, que ces termes reflètent bien le règlement. Le gros problème étant de savoir qui attribuerait ces couleurs. Cela pourrait relever de l'Etat, mais en relation avec les membres académiques et les concepteurs et les entreprises, de la CNIL ou d'associations ou d'ONG spécialisées dans la protection de la vie privée.