La valeur de nos données personnelles

Les plateformes de réseaux sociaux et les moteurs de recherche carburent aux données qui sont traitées massivement pour livrer en une fraction de seconde des réponses pertinentes. Ces données sont une ressource essentielle pour générer de la valeur en détectant et en vendant l’attention des internautes sur le marché de la publicité en ligne.

Les données sont l’intrant majeur de la création de valeur dans le monde connecté. Mais pour l’heure, cette ressource essentielle est accaparée à des conditions dérisoires par les grands acteurs d’Internet. Des voix commencent à s’élever pour réclamer que le droit d’utiliser cette ressource précieuse soit assorti d’une contrepartie. L’automne dernier, le New York Times affirmait en éditorial que le moment est venu de taxer les entreprises qui génèrent de la valeur par l’utilisation des données.

Cette prise de conscience de la valeur des données utilisées massivement pour assurer le fonctionnement d’un nombre croissant de fonctions liées à l’intelligence artificielle et aux objets connectés semble venir bien tard. Comment expliquer que les analyses juridiques et les discours sur l’éthique occultent le fait que cette précieuse ressource informationnelle est mise à la disposition d’entreprises qui en tirent bénéfice sans véritable contrepartie ?

Fixation sur le consentement

Une part d’explication de ce paradoxe provient du conservatisme qui sévit dans les milieux oeuvrant à la protection des renseignements personnels. Dans ces milieux, on se braque sur l’idée que les données personnelles seraient en quelque sorte la « propriété » des individus dont elles émanent. Au nom de cette fiction, on insiste pour maintenir des lois qui exigent que les individus « consentent » à la collecte et à l’utilisation de leurs données personnelles. Le nouveau règlement européen, souvent présenté comme innovateur, reconduit ces anciennes approches en les complexifiant. De telles lois ne protègent pas contre le profilage et autres processus arbitraires. Elles ne font que nous donner un droit souvent théorique de consentir ou non !

Ce modèle a pour conséquence que pratiquement toutes les données qui circulent sur Internet sont collectées avec le « consentement » des individus ayant cliqué sur le rituel « j’accepte » chaque fois qu’ils se sont inscrits en ligne. C’est tout ce que les lois exigent. Des lois qui protégeraient vraiment la vie privée assujettiraient à des conditions plus strictes les processus mettant à risque de révéler quelque chose sur l’intimité des individus ou destinés à prendre des décisions à leur égard.

Car c’est là que le bât blesse. Les lois de protection des renseignements personnels sont figées dans une conception reflétant l’informatique centralisée de la fin du siècle dernier. On persiste à considérer les renseignements sur une personne comme une affaire essentiellement individuelle. Tant que la personne a consenti, pas de problème ! On ne prend pas soin d’encadrer les processus de plus en plus complexes fondés sur l’usage massif des renseignements personnels. Par exemple, on se désole que les accumulations de renseignements relatifs à une personne soient susceptibles de donner lieu à des décisions discriminatoires à son égard. Mais on se garde bien de régler la voilure des lois afin de protéger effectivement les personnes contre les discriminations pouvant résulter d’analyses fondées sur des données.

Une ressource collective

En s’accrochant à une vision individualiste des renseignements personnels, on se trouve démuni pour mettre en oeuvre un cadre juridique afin de protéger les droits des personnes lorsque les données sont agglomérées et analysées afin de dégager des tendances globales. Car les traitements massifs de données relèvent d’une logique différente de celle qui sous-tend les lois actuelles sur la protection des renseignements personnels. Les renseignements que nous fournissons lors de nos requêtes dans un moteur de recherche sont certes a priori des renseignements personnels. Mais lorsque ces informations sont fondues avec d’autres afin de déduire que, dans une région spécifique, à une période donnée, il y a une possible épidémie, nous ne sommes plus dans un univers de renseignements personnels.

Lorsque les informations se détachent de chacun des individus, qu’elles sont utilisées pour mesurer des phénomènes de masse, il est absurde de les considérer comme des données personnelles. Ce sont alors des ressources ayant un caractère collectif qu’il faut réglementer comme une ressource collective, non comme une addition de renseignements portant sur des individus.

Les enjeux de protection de la dignité associés à la protection des données sont majeurs. Il ne suffit pas de s’inquiéter de ce qu’il advient de nos données, il faut porter un vrai regard critique sur les lois qui prétendent protéger notre vie privée et exiger une régulation conséquente.

À voir en vidéo