Protéger l’individu numérique dans le big data

Du capitalisme financier au capitalisme numérique ? Le big data, littéralement « les grosses données », est un nouvel or noir. Autant nous sommes loin d’une IA forte capable, comme l’ordinateur HAL ou le système Skynet1, d’évolution autonome dangereuse pour l’homme, autant le volume de données et la capacité d’analyse par une IA faible, pilotée par l’homme, donne des sueurs froides. L’exemple chinois en illustre l’ampleur. Philippe Saint-Aubin, membre CFDT du Conseil économique, social et environnemental (Cese), a fait partie d’un voyage d’étude en Chine avec le Cese. Il témoigne des nombreux exemples d’utilisation massive et de croisement de données. Citons Beijing Automotive Industry, cinquième constructeur automobile chinois mais qui développe une gamme de 200 000 voitures circulent aujourd’hui. La particularité est la géolocalisation et l’envoi en direct de données sur l’état du véhicule. Alibaba, l’Amazon chinois, ambitionne lui de conquérir quelque deux milliards de clients d’ici quelques années – partant de 500 000 aujourd’hui. Il vend à la fois des objets et des services financiers, donc connaît les habitudes de consommation et plus largement, via une connaissance des comptes bancaires, des modes de vie, voire de la santé de ses clients. Ou encore le Centre de données de Shanghaï, ville vitrine du capitalisme chinois, qui vend ses services à des centres commerciaux. En analysant les données échangées par smartphone, les moyens de paiements et les caméras, cela permet de connaître finement les comportements des consommateurs. Plus édifiant encore : de Chine, il est possible de savoir en électrique importante et plus direct combien de Chinois sont à Paris, ce qu’ils consomment, voire ce qu’ils échangent par SMS. Il suffit d’avoir accès aux données des clients abonnés à des services de téléphone, soit la quasi-totalité des touristes qui partent au bout du monde…2 Le pays est une vitrine d’un très impressionnant déploiement de systèmes d’analyse des données personnelles. Il y a 150 millions de caméras, soit une pour huit habitant, et l’ambition est de multiplier par cinq d’ici quelques années la présence de la surveillance. Ces technologies de surveillance rejoignent le « système de crédit social », projet du gouvernement chinois visant à mettre en place d’ici 2020 un système national de réputation des citoyens. Chacun d’entre eux se voit attribuer une note fondée sur les données dont dispose le gouvernement à propos de leur statut économique et social. Le système repose sur un outil de surveillance de masse et utilise les technologies d’analyse du big data. Il est également utilisé pour noter les entreprises opérant sur le marché chinois.

Le RGPD, une avancée européenne

Sur le territoire de l’Union européenne, le « règlement général sur la protection des données » (RGPD) encadre le traitement des données personnelles. La question date des années soixante-dix durant lesquelles la France (loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés), avec l’Allemagne et la Suède inaugure un cadre protecteur. Une directive européenne oblige en 1995 les autres pays à légiférer avec le début d’Internet. Mais les divergences normatives demeurent trop nombreuses et un règlement – norme supérieure aux directives – harmonise en 2016 les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’Union en se fondant sur la confiance des utilisateurs.

Le RGPD consacre des principes innovants tels que celui de la finalité (chaque traitement de données est ciblé), de l’obligation de ne les utiliser qu’une fois (principe de minimisation) et d’une transparence nécessaire. Il naît de nouveaux droits individuels en matière numérique. Les données ne doivent pas être détournées de leur usage concerté entre celui qui les donne et celui qui l’utilise. Pour Basile Guley, juriste à la Commission nationale de l’informatique et des libertés (Cnil), « on est ainsi passé avec le RGPD de la sanction à la responsabilisation ». L’époque est loin de la simple déclaration à la Cnil, de demandes d’autorisation de traitement, sauf en matière de santé. Chaque organisme utilisateur de données est obligé dorénavant de réfléchir, de s’adapter, de se responsabiliser. Il est obligé d’établir une relation de confiance avec ses clients et usagers3. Cette responsabilité est partagée, comme le souligne régulièrement le juriste Jean-Emmanuel Ray, entre différents acteurs dans l’entreprise. Plus que jamais ; l’IA représente une évolution technologique4 à la croisée des systèmes d’information, de la politique de ressources humaines et de la sécurité juridique5. Dans l’entreprise, l’IA représente un outil puissant de prescription et de surveillance. « L’intelligence artificielle est au carrefour de plusieurs droits : le travail, l’emploi, la formation ; on est passé de droits collectifs à un droit de la personne au travail ; l’informatique permet cette personnalisation de masse »6. Cette approche globale est portée par le RGPD, qui montre que l’Europe a une vision transnationale de la protection des données personnelles. La mémoire et la production de données sont inhérentes à l’informatique. Il suffit de voir le volume de traces laissé tout au long de la journée, des achats aux réseaux sociaux, mêlant sans frontières les vies privées et au travail. La protection des données est donc une politique de régulation de l’intelligence artificielle.