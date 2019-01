Saisie de plaintes contestant les politiques de confidentialité et les conditions d’utilisation de Google, la Commission nationale de l’informatique et des libertés (CNIL), l’organisme français chargé d’appliquer le Règlement général européen sur la protection des données personnelles (RGPD), a récemment condamné Google à une sanction record de 50 millions d’euros (75 millions de dollars canadiens environ). Même si elle est susceptible d’être portée en appel, cette décision montre que les États sont en mesure d’infléchir les comportements des géants du Web. Mais surtout, elle passe à côté des vrais enjeux.

La CNIL a estimé que l’architecture de l’information mise en place par Google pour obtenir le consentement des internautes aux traitements de leurs données personnelles ne respecte pas le Règlement. Autrement dit, avec des pages Web moins difficiles à trouver et à comprendre, Google pourra continuer à faire ce qu’elle entend avec les masses de données qu’elle exploite !

La CNIL a constaté que les informations devant être communiquées aux individus sont éparpillées. Il y a une pléthore de documents comportant des boutons et des liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. Une telle ergonomie oblige l’utilisateur à multiplier les clics et consulter attentivement une grande quantité d’informations pour finir par savoir à quoi il consent.

De même, le consentement sur lequel se fonde Google pour les traitements de personnalisation de la publicité n’est pas valablement recueilli. La CNIL écrit que le consentement n’est « spécifique », comme l’exige le RGPD, qu’à la condition qu’il soit donné de manière distincte pour chacune des finalités auxquelles sont destinées les informations. La CNIL condamne donc Google pour manque de transparence et absence de consentement valable pour la personnalisation de la publicité.

Portée limitée

On ne reproche pas à Google de traiter des masses de données personnelles et d’en tirer de la valeur sans avoir de comptes à rendre. On lui tient plutôt rigueur du caractère obscur des multiples pages Web dans lesquelles les individus sont invités à donner leur consentement ! Car ces législations sur la protection des données personnelles reposent sur la fiction que c’est l’individu qui est maître de « ses » données. C’est à lui qu’il incombe de consentir ou non aux demandes ou aux propositions des offreurs de services en ligne quant à la collecte et aux utilisations des informations personnelles. Cela occulte le fait que nous n’avons pas vraiment le choix d’accepter ou de refuser d’utiliser Google et tous les autres outils connectés. Ce n’est pas tant la donnée d’un individu qui recèle de vrais enjeux, c’est plutôt la massification des données issues des traces d’une multitude d’individus et objets. En tout réalisme, cela ne peut relever que du « consentement » individuel.

Pour offrir ces innombrables services « gratuits » à l’usager, les entreprises du Web comme les moteurs de recherche ou les médias sociaux compensent en extrayant la valeur des données collectées de toutes parts. Par exemple en appliquant des procédés analytiques afin de proposer aux annonceurs des publicités ciblées. Il en est de même de plusieurs entreprises proposant des objets connectés.

La valeur des données

Une fois collectées, avec les consentements adéquats, les données entrent dans les « actifs » de l’entreprise. Réglementer les données comme si c’était principalement une affaire qui ne concerne que l’individu procure une protection factice. Face aux enjeux découlant des pratiques par lesquelles on génère de la valeur à partir des masses de données (big data), il faut encadrer les processus décisionnels alimentés par les données. Par exemple, comment un individu peut-il donner un consentement éclairé qui viserait les innombrables situations dans lesquelles les données seront fondues dans la masse de celles qui seront analysées afin de délivrer des résultats de recherche pertinents en une fraction de seconde ou de fournir en temps réel des informations sur les embouteillages ou les épidémies ?

Même si on parvient à forcer Google à visibiliser les explications sur ce qu’il fait des données, il restera à régler les enjeux qui relèvent de la vie collective et non du « consentement » de chaque individu. Par exemple, une personne et ses concitoyens pourraient avoir valablement consenti, mais qu’est-ce qui se passe lorsque les algorithmes qui traitent les masses de données (pourtant obtenues avec le libre consentement) se révèlent faussés ou discriminatoires pour les personnes appartenant à certains groupes ?

Voilà une décision qui applique une réglementation postulant que les données qui concernent des populations entières sont une affaire relevant du « consentement » individuel. Pour garantir que le monde connecté fonctionne dans le respect des droits de tous, on ne peut s’en tenir à une approche aussi naïve.