Quelle est l’incidence du coronavirus sur la protection des données ? Si nous divulguons des informations personnelles pour aider à lutter contre la pandémie de COVID-19, pouvons-nous être sûrs qu’il n’en sera pas fait un usage abusif ? Voyons ce qu’en pense notre spécialiste de la protection des données.
Nos vies ont changé avec la crise du coronavirus. Mais ont-elles changé pour toujours ? Dans « Est-ce que cela change tout ? », des experts de la Banque européenne d’investissement se penchent sur les conséquences de la pandémie de COVID-19 dans différents secteurs allant de l’éducation et de la transition numérique à la mobilité urbaine et à la médecine, ainsi que dans notre vie quotidienne.
Pour comprendre ce que signifie le coronavirus pour la protection de vos données, nous avons interrogé Dennis Kessler, chef de l’unité de la gouvernance des données à la Banque européenne d’investissement, la banque de l’UE.
Consultez la page Est-ce que cela change tout ? de la Banque européenne d’investissement, la banque de l’UE. Abonnez-vous au podcast sur iTunes, Acast, PlayerFM et Spotify.tify
La crise du coronavirus va-t-elle changer l’avenir de la protection des données ?
Ce n’est pas par obligation qu’elle le change, mais inexorablement. Dans le domaine du respect de la vie privée, une législation introduite par l’Europe, plus précisément le règlement général sur la protection des données (RGPD), est devenue la référence mondiale en la matière. Nombreux sont ceux à craindre que les mesures qui doivent être introduites pour lutter contre le virus et le contrôler impliquent le renforcement de la surveillance, de l’intrusion dans la vie privée et du contrôle de leurs déplacements, en particulier au moyen des applications de traçage qui ont été mises au point pour être installées sur les téléphones personnels. Ce ne devrait pourtant pas être une source d’inquiétude, car tout un chacun conviendra que la préservation de la vie et de la santé publique passe avant tout. La grande inconnue, c’est ce qu’il se passera ensuite. Une fois que beaucoup de protections auront été détériorées ou compromises, une fois que beaucoup plus de données seront entre les mains d’entreprises privées et des pouvoirs publics, que vont-elles devenir ?
Dans un autre épisode de cette série de podcasts, un expert médical a dit qu’il espérait que les traitements médicaux reposeraient davantage sur le numérique, car cela aiderait les médecins à faire face aux pandémies, ainsi qu’à d’autres maladies. Cela signifie que les médecins bénéficieraient d’un accès électronique à nos données. Et vous conviendrez qu’il n’y a pas plus privé que les données médicales. Pensez-vous que nous devrons inexorablement accepter une plus grande numérisation de notre vie privée ?
Je pense que c’est inexorable. La vraie question ne porte pas une plus grande numérisation des données personnelles, mais de tous les aspects de notre vie. Nos modes de vie et les services qui nous sont proposés et que nous consommons. Le règlement sur la protection des données a été adopté pour faire en sorte que ces services soient fournis sans mettre en danger notre vie privée. Nous essayons encore de trouver le juste équilibre entre les données que nous acceptons de céder et tous les avantages que nous pouvons en tirer.
Nous prenons pour argent comptant nos services de banque en ligne, nos achats sur internet, le stockage de documents personnels et de photos, notre consommation de musique. Toutes ces activités laissent des traces. Et ne mentionnons même pas les réseaux sociaux. Selon toute évidence, nos activités numériques laissent des traces en matière de données et cela ne semble pas nous poser problème. Néanmoins, nous voulons que les autorités gouvernementales nous confirment qu’il n’est pas fait un usage abusif de ces données et qu’elles sont stockées et protégées conformément à ce que l’on pourrait attendre du type de société dans lequel nous vivons.
Il semble tout à fait évident que quiconque ayant besoin d’un traitement médical voudrait être sûr que les prestataires de santé disposent de son dossier médical, mentionnant aussi bien ses antécédents médicaux que les traitements suivis ou des allergies. Lorsque l’on a besoin d’un traitement en urgence, on peut très bien rappeler toutes ces informations une fois sur place si l’on est conscient. Mais il est très pratique pour les prestataires de santé de connaître nos antécédents médicaux, surtout si l’on n’a pas toutes ces informations à portée de main ou si l’on n’est pas en mesure de les partager nous-mêmes.
Sans aucun doute, l’avenir des soins de santé repose sur la transformation numérique, avec au centre la numérisation des données personnelles de santé. Les personnes bénéficiant d’un meilleur traitement médical y seraient favorables, mais elles attendraient tout de même des pouvoirs publics qu’ils veillent à la mise en place de protections adéquates pour garantir que les données sensibles ne sont mises à disposition que si nécessaire et seulement aux personnes qui en ont besoin pour fournir ces services.
Vous avez mentionné les applications que certains gouvernements envisagent d’introduire pour gérer le déconfinement. Sont-elles examinées dans leur globalité et quelles chances ont-elles d’être vraiment adoptées ?
Cela se passe en ce moment même. Singapour a été l’un des précurseurs en développant une application traçant les contacts d’une personne au cas où ils seraient diagnostiqués positifs. Elle a été bien acceptée par la société singapourienne, même si son adoption est lente. On estime qu’il faudrait que 60 % de la population l’adoptent pour qu’elle soit efficace, mais son usage réel est nettement inférieur.
Les autorités britanniques et le Service national de santé mettent au point une application de traçage qui est sur le point d’être lancée. Elle utilisera la technologie Bluetooth. L’idée c’est que, si quelqu’un est testé positif, on peut déterminer quelles personnes ont récemment été en contact avec lui et les prévenir afin que, si elles ne présentent pas de symptômes qui auraient pu les alerter, elles puissent quand même être testées et commencer à se mettre en quarantaine.
Dans l’ensemble, les épidémiologistes et les professionnels de santé estiment que c’est la clé : un traçage rapide des contacts est essentiel pour freiner le virus. Là où le bât blesse, c’est ce que deviendront toutes ces données. Quel type de données est saisi ? Est-ce que ce sont des informations nominatives que des sociétés privées pourront utiliser à l’avenir pour déterminer les déplacements d’une personne, ce qu’elle consomme, les lieux qu’elle a visités et ce qu’elle aime faire, et où seront-elles conservées et à quelles fins seront-elles utilisées ?
Est-ce vraiment le nœud du problème, comment des entreprises privées utiliseraient nos données ? Parce que, dans les journaux, on retrouve toujours la crainte orwellienne que le gouvernement dise « vous êtes un dissident politique, alors nous allons dire à votre application que vous êtes infecté par le coronavirus et que vous devez donc rester à la maison », ce qui revient dans les faits à une assignation à résidence. Mais vous avez l’air de dire que c’est plus une question de récupération de nos données par des entreprises privées et de leur utilisation à des fins commerciales.
Ce sont les deux faces d’une même pièce. L’exemple que vous venez de donner ne relève plus de la science-fiction. C’est déjà le cas en Chine. Une classification reposant sur des profils de données est déjà appliquée aux minorités en Chine pour limiter leurs mouvements. Des données empiriques semblent indiquer que des personnes ont été classées en vert, ce qui leur permet de quitter leur domicile ou la ville dans laquelle ils sont enregistrés, mais que d’autres, en raison de problèmes techniques, ont été de manière erronée classées en jaune ou en rouge, ce qui restreint leurs mouvements, sans qu’il soit possible de contester ce classement, les procédures de plainte ou d’appel n’étant pas clairement définies. En outre, dans ce type de société, une personnalité politique ou un membre de la police ayant accès à ces données aurait peu ou pas de comptes à rendre si elle décidait de classer une personne en rouge, même pour d’autres motifs que son état de santé. Il ne s’agit donc pas là de craintes quant à l’avenir : cela se produit maintenant dans certaines parties du monde. Reste à savoir quelles protections mettre en place pour éviter que cela ne se produise dans des démocraties occidentales soi-disant libérales, si ces plateformes et infrastructures sont déjà développées et adoptées par les citoyens.
Nous parlons maintenant d’une situation d’urgence. Mais une fois que la menace du coronavirus aura reculé, sera-t-il possible de faire marche arrière concernant la protection de nos données ? Est-ce que nous voudrons même faire marche arrière ?
Vous avez commencé par demander si nos données relevaient du domaine public. L’objectif principal du RGPD et de législations comparables, comme la loi californienne de 2018 sur la protection des données des consommateurs (California Consumer Privacy Act), qui est de plus en plus suivie dans d’autres régions des États-Unis, est de s’assurer que les particuliers, les consommateurs et les citoyens peuvent contrôler quelles données sont conservées par des entreprises privées, comment elles sont utilisées et à quelles fins, et que ces derniers ont le droit de demander leur retrait. Si nous perdons leur contrôle, nos données personnelles peuvent être utilisées non seulement par les pouvoirs publics, mais aussi par des organisations privées motivées par l’appât du gain.
Les gens l’accepteront s’ils ont le sentiment qu’ils en tireront un avantage. Concernant les motivations des entreprises privées, l’accès aux données à caractère personnel leur permettrait de réaliser des bénéfices. Par exemple, s’il y avait des aspects de votre mode de vie que vous ne vouliez pas dévoiler à une compagnie d’assurance, mais que cette dernière était amenée à découvrir qu’elle pourrait vous classer dans une catégorie plus risquée, vous pourriez en conséquence devoir payer des primes d’assurance plus élevées sans que cela soit transparent.
Les entreprises privées souhaitant sélectionner des candidats pour un poste précis pourraient avoir accès à vos données personnelles, votre vie privée et des activités que vous n’aviez pas divulguées, et s’en servir pour prendre une décision quant au profil recherché.
L’objectif de cette législation est de laisser aux individus le contrôle des informations qu’ils souhaitent partager, de ce qui peut en être fait ou non, et de leur assurer le droit de demander leur retrait en cas d’usage non autorisé.
J’aimerais vous poser des questions sur les cas où cela dérape. Cette semaine, au Pays de Galles, 13 000 courriers ont été envoyés par le gouvernement aux mauvais destinataires, leur disant qu’ils étaient des personnes à risque face au coronavirus en raison de leurs antécédents médicaux. Est-ce que ce type d’erreur se produit souvent et dans quelle mesure est-ce une atteinte à notre vie privée ?
La plupart des gouvernements sont dotés d’une autorité compétente en matière de protection des données et le RGPD stipule que les autorités et les organismes publics doivent désigner un délégué à la protection des données. De telles infractions doivent être signalées et communiquées dans un délai défini et, à défaut, des sanctions sont prévues. Le fait est que la population est de plus en plus consciente de l’importance de la valeur des données, aussi bien à des fins commerciales qu’en matière de libertés individuelles et de respect de la vie privée. Il y a une prise de conscience des tensions que la crise actuelle exerce entre le besoin de préserver la santé publique, qui ne fait pas débat quand des vies sont en jeu, et le besoin de s’assurer que toutes les informations recueillies dans le contexte actuel sont méticuleusement gérées et pas utilisées à d’autres fins, que ce soit de manière délibérée ou accidentelle, une fois cette crise passée.
Quels pourraient être les effets de ces changements sur la vie des citoyens une fois la crise terminée ? Dans quelle mesure la protection de nos données aura-t-elle changé ?
Nous pouvons nous attendre à ce que l’utilisation de ces applications de traçage commence dès à présent à se généraliser massivement. C’est déjà le cas. Cela ouvre la voie à une plus grande acceptation de la part des individus du traçage de leurs mouvements. Ils auront confiance dans le fait que les gouvernements et les autorités compétentes utiliseront ces informations de façon responsable.
Mais si l’on réfléchit à la façon dont l’utilisation des réseaux sociaux a explosé, les gens ne font plus vraiment attention au fait qu’ils dévoilent de plus en plus leur vie privée sur des forums, en utilisant des plateformes et des infrastructures tout en ignorant qui peut accéder aux données et où ces dernières sont stockées. À moins d’être de brillants techniciens, très peu de personnes comprennent la complexité des infrastructures utilisées par Facebook pour gérer ses services. Sans parler d’Amazon ou d’eBay avec tous les achats qui y sont réalisés.
Cela ouvre la voie à une moindre réticence à partager de plus en plus d’informations et à utiliser de plus en plus d’applications qui sont ostensiblement proposées pour simplifier le quotidien.
Le danger c’est que la plupart des gens commencent à accepter le fait d’avoir sur eux un smartphone, doté de ces applications de traçage, mais sans y prêter attention, et qu’il n’y ait pas suffisamment de contrôles quant aux personnes qui ont accès à ces données et à la finalité de leur utilisation.
Nous avons fait le choix d’avoir un smartphone. En réalité, ce n’est pas vraiment un téléphone. C’est un ordinateur portable extrêmement puissant qui est par ailleurs doté d’un téléphone. Dans certaines régions de Chine, la population est obligée d’avoir un smartphone de façon à tracer ses mouvements. On ne lui a pas demandé son avis. C’est difficile à imaginer mais nous nous rapprochons peut-être d’une situation où l’on nous dira qu’il faut posséder un smartphone pour des activités du quotidien et que, sur ce téléphone, certaines applications doivent être activées pour pouvoir interagir au sein de la société civile en toute légalité.
Si cela se produit, il faudra pouvoir le choisir et non que ce soit imposé furtivement par les autorités publiques, et notamment sous l’impulsion des intérêts du secteur privé.
Quel rôle la Banque européenne d’investissement peut-elle jouer ?
La BEI est une institution européenne phare qui, en particulier en tant que membre de l’Eurogroupe, émerge comme l’un des principaux acteurs du plan de sauvetage qui est mis sur pied pour essayer d’aider l’économie européenne à se redresser.
Peu comprise et éclipsée par cette crise, la nouvelle stratégie européenne pour les données, publiée en février par la Commission européenne, encourage le passage au numérique de tous les aspects de la société européenne au profit de la prospérité civile et économique. Elle est quasiment passée inaperçue car, à ce moment-là, on commençait à entendre parler des retombées du virus.
Mais une grande composante de cette stratégie se concentre sur les données et l’intelligence artificielle. L’objectif de cette stratégie en matière de données est de créer un marché unique des données favorisant la circulation de ces données dans toute l’UE et tous les secteurs, dans le plein respect de la protection de la vie privée et des données, où les règles d’accès sont justes, mais qui présente un énorme avantage pour l’économie européenne en tant qu’acteur mondial en raison de cette nouvelle économie des données.
Compte tenu des craintes entourant un usage abusif des données, l’UE a aussi lancé une stratégie sur l’utilisation de l’intelligence artificielle : un groupe de travail a étudié comment garantir une utilisation de l’intelligence artificielle en toute confiance. Deux livres blancs, qui semblent être passés inaperçus face à l’attention suscitée par la crise, ont été publiés. L’un d’eux, portant sur l’intelligence artificielle, est intitulé Une approche européenne axée sur l’excellence et la confiance.
La BEI peut jouer un rôle très important en garantissant que, lorsqu’elle évalue les prêts qu’elle accorde à des contreparties, elle prend en compte non seulement les audits préalables habituels en matière de connaissance des contreparties et de lutte contre le blanchiment de capitaux concernant la destination des fonds prêtés, mais aussi en s’assurant que les organisations qui reçoivent les prêts connaissent et respectent les normes et réglementations européennes concernant l’utilisation des données pour veiller au respect des pratiques juridiques et éthiques.
La BEI peut devenir un chef de file dans le domaine de l’éthique des données pour garantir que l’esprit et la lettre de ces réglementations ainsi que les principes de protection des données et de la vie privée soient non seulement respectés mais aussi ancrés dans l’ensemble de l’économie et de la société européennes.
Consultez la page Est-ce que cela change tout ? de la Banque européenne d’investissement, la banque de l’UE. Abonnez-vous au podcast sur iTunes, Acast, PlayerFM et Spotify.