Tirer profit du Big Data sans compromettre nos libertés (5/5)

big data source https://unsplash.com/photos/gpjvRZyavZc

Comment maîtriser, faciliter et fiabiliser la collecte et la diffusion des données, tout en garantissant les libertés individuelles. L’anonymat par le cloisonnement sera la pierre angulaire de ce problème.

Par Philippe Mosching.

Les quatre articles précédents (ici, ici, ici et ici) ont démontré le potentiel incroyable que recèlent les données, mais aussi comment une utilisation malveillante peut attenter à nos libertés. Nous avons ensuite montré que les réglementations, tel que le RGPD européen, permettent de sensibiliser et limiter les usages, mais que cela a un coût important et nous protège peu.

Le think tank Génération Libre propose, dans un élan individualiste, de marchandiser nos données personnelles, ce qui sera très difficile, limiterait les bénéfices espérés du Big Data, et ne nous protégera pas davantage, peut-être même moins. Comment concilier partage des données avec respect des libertés individuelles ?

Offrir au citoyen un cadre lui permettant de profiter des services digitaux toujours plus pointus tout en lui assurant une forte protection de ses données personnelles, c’est comme chercher la solution d’une équation ayant deux contraintes : la première est d’imposer un minimum de charge sur les entreprises pour leur permettre de se concentrer sur leurs produits et services, la deuxième est de garantir au citoyen le contrôle et le respect de sa sphère privée.

Protection des libertés

Il faut bien comprendre de quoi nous voulons nous protéger, et donc ce que nous entendons par « protection de nos libertés ». La liberté est affectée lorsqu’une action est dirigée vers une personne précise en s’appuyant sur des données personnelles la renforçant.

Dans l’affaire Cambridge Analytica, cette entreprise utilisait le profil Facebook pour contacter les individus visés et possédait des données personnelles lui permettant de cibler des messages politiques en vue d’influencer leur choix lors de l’élection américaine de 2016. Cette affaire montre à la fois le pouvoir des données et l’atteinte à la liberté des personnes qui ont été manipulées par ces messages.

Pour obtenir des services, donc nécessairement partager des données, en évitant des actions dirigées contre soi, il faudra être en mesure de maîtriser les communications vers soi. Pour cela, il faut assurer l’anonymat, et donner à chaque personne le pouvoir de gérer le type de communication, la fréquence, pouvoir bloquer des contenus et surtout de pouvoir y mettre fin.

On ajoutera que la personne doit aussi avoir la possibilité de contrôler et valider l’envoi de données personnelles pour s’assurer qu’elles sont bien nécessaires à l’obtention du service. Malgré deux ans d’application du RGPD, beaucoup d’entreprise continue de demander une quantité incroyable d’informations, pas toujours justifiée. Les banques en sont le mauvais exemple.

L’émetteur doit aussi pouvoir être authentifié de manière sécurisée, pour être protégé d’une usurpation d’identité. Les données qu’il fournit doivent être fiables (idéalement certifiées) pour protéger le destinataire d’une fraude.

La personne doit en tout temps être capable, au travers d’une interface simple et unique, de visualiser ses choix et en changer avec effet immédiat et ceci pour tous les services auxquels elle a souscrit.

Le cloisonnement comme solution

Le principe proposé ici repose sur le cloisonnement, plus précisément, le cloisonnement des données auprès d’entités juridiques distinctes. Les données d’identification seront gérées par des Fournisseurs d’Identité Numérique (FIN), qui connaîtront l’identité des personnes, mais ne connaîtront rien de leurs activités. Et celles-ci seront réalisées auprès de fournisseur de services qui ne connaîtront pas l’ identité de leur clients.

Concrètement, les banques, les assurances, les moteurs de recherche, les plateformes de streaming, les magasins en ligne fourniront des services à des clients dont elles ne connaîtront plus l’identité. Pour certains services, il s’agit d’un retour à l’anonymat qui a existé avant la digitalisation et les cartes de crédit. Pour d’autres, c’est une situation nouvelle.

En pratique, vous ouvrez un compte auprès d’un fournisseur d’identité numérique (FIN), qui est une entité en laquelle vous avez confiance – on reviendra sur ce point. Ensuite, vous enrichissez votre profil avec des données d’identification et de contact tels que vos noms, prénoms, adresse, date de naissance, numéro de téléphone, adresse email, numéro de sécurité sociale, photo d’identité, etc.

Chacune de ces informations peut être soit librement saisie, et donc la fiabilité tient à votre bonne foi, ou certifiée par un tiers reconnu. Par exemple, une autorité administrative certifiera une date de naissance, un lien de parenté, une adresse fiscale, un permis de conduire, etc. Une entreprise privée certifiera une attestation d’assurance, une carte de fidélité. Une association certifiera une licence de sport, une affiliation à un club, etc.

Ces certifications seront réalisées par signatures électroniques basées sur des méthodes de cryptage. Les technologies de certifications et de signatures électroniques existent déjà et sont très utilisées. Par exemple, pour s’assurer que lorsque vous vous connectez au site Web de votre banque, c’est bien à votre banque que vous êtes connecté et non pas un usurpateur qui se serait interposé.

Le principe du FIN existe déjà, souvent sous forme de projets gouvernementaux, tel que SwissID, ou FranceConnect par la Poste. D’autres initiatives académiques telle que IRMA de l’université de Radboud aux Pays-Bas vont également dans cette direction.

Authentification

Le modèle de l’identité numérique permet donc de stocker vos données personnelles provenant de différentes sources, après les avoir éventuellement certifiées auprès d’organismes reconnus. Cette base va vous permettre de vous authentifier à l’aide de ce seul compte auprès des fournisseurs de services.

Google, Facebook proposent déjà ce service d’authentification, sur la base du protocole OAuth2, tout comme SwissID et France Connect. Ainsi vous utilisez votre compte Google pour vous authentifier auprès d’autres sites, en évitant ainsi de créer un compte spécifique pour chacun de ces sites et devoir saisir à nouveau certaines données personnelles de base. Là aussi, la technologie existe déjà.

Anonymat

Un tel système satisfait plusieurs des objectifs que nous avions fixés : authentification unique, fiabilité des données par la certification, centralisation des données auprès d’une entité de confiance, et contrôle par l’usager des données qu’il accepte de communiquer aux différents services.

Reste encore un objectif à atteindre, celui de l’anonymat. En effet, dans le modèle de l’identité numérique, vous avez certes le contrôle des données que vous acceptez de partager, mais il faudra bien communiquer noms et adresse pour pouvoir être livré, ou adresse email pour être informé, ou numéro de téléphone pour être contacté, et ainsi dévoiler son identité ou du moins un moyen de communication qui pourrait ensuite être utilisé pour mener une action dirigée contre vous, et donc attenter à votre liberté.

La parade est de ne jamais communiquer des données de contact ou d’identification au-delà du FIN et demander à celle-ci de faire l’intermédiaire en routant les messages que les fournisseurs de services ne peuvent plus envoyer directement. Prenant l’exemple d’un site marchand. Le FIN sera utilisé pour ouvrir un compte auprès du site, sans communiquer aucune information personnelle. Le site marchand connaît ses clients uniquement par un numéro d’identifiant échangé avec le FIN.

Lorsque le site doit envoyer un email, il devra l’envoyer au FIN qui sera capable de le router vers l’usager. Le message sera bien évidemment crypté de sorte à n’être lu que par l’usager, et pas par le FIN. Le site marchand demandera le paiement à un organisme de paiement qui lui-même demandera l’autorisation par l’intermédiaire du FIN. Pour les envois de paquets, le site marchand fournira le paquet à un transporteur qui devra obtenir l’adresse de livraison auprès du FIN.

Le site marchand connaîtra vos achats mais pas votre identité, ni votre adresse. Le transporteur connaîtra votre adresse, mais pas le contenu des paquets, ni leur valeur. Le FIN connaîtra votre identité et votre adresse, mais ne connaîtra pas vos achats. L’organisme de paiement connaîtra le montant et l’identité du site, mais pas la votre. C’est ainsi que le cloisonnement des données permet de fournir des services tout en conservant l’anonymat.

Dans le cas d’une procédure judiciaire, les différentes entités devront lever le secret. Rien de différent par rapport à la situation actuelle.

Des statistiques pourront être réalisées afin de créer de la connaissance, mais en garantissant l’anonymat de chacun. La diffusion de données vers n’importe lequel des prestataires de services sera toujours possible, mais explicitement sous le contrôle de l’usager. Les raisons peuvent être directement liées au service : donner sa position pour obtenir un service de navigation est inévitable.

Les raisons peuvent être l’amélioration du service : donner son âge pour recevoir des recommandations plus pertinentes ; ou simplement pour permettre aux prestataires d’affiner leur connaissance de la clientèle et ainsi améliorer le service. Ce principe est compris dans le RGPD, et existe déjà en pratique : une application qui souhaite utiliser le GPS de votre téléphone doit en demander l’autorisation explicite.

Maîtrise de la relation

Selon le type de relation, vous pourrez décider de ne plus recevoir de communication provenant d’un fournisseur de service. D’un simple click, ce blocage sera immédiat et parfaitement fiable, car le site n’aura à aucun moment eu connaissance de vos coordonnées.

Certains types de relations demanderont que les deux parties valident l’interruption des communications afin de permettre la continuité d’une relation commerciale. Ainsi une banque devra pouvoir communiquer avec ses clients, et ceux-ci ne pourront pas couper ce lien tant que tous les comptes ne sont pas clôturés. Ce modèle protège donc les usagers et les fournisseurs de services.

Vous pourrez aussi changer d’adresse mail en un click et tous vos mails seront routés sur cette nouvelle adresse. Vous pourrez aussi créer plusieurs adresses pour répartir vos mails. En un mot, vous avez le contrôle de vos données et des modes de communication grâce à l’intermédiaire du FIN, offrant ainsi l’anonymat, tout en permettant aux fournisseurs de service de collecter les données qui leur sont nécessaire à remplir leur mission, mais pas plus.

Avec le RGPD vous devez faire confiance à tous les fournisseurs de services, et vice-versa. Avec le modèle de patrimonialité des données, proposé par Génération Libre, vous êtes indemnisé mais pas protégé. Avec le cloisonnement des données, vous êtes protégé par un intermédiaire de confiance : le FIN.

Les FIN seront les gardiens des données personnelles et les routeurs indispensables entre les usagers et les fournisseurs de services. Pour garantir la confiance nécessaire, ces sociétés devront être réglementées, strictement contrôlées, répondre à une autorité de surveillance et obtenir une licence pour exercer. Le code source de leurs systèmes devra être consultable, ainsi que leurs procédures internes. Si on étend encore plus le modèle de cloisonnement, on peut imaginer qu’un individu fasse appel à plusieurs FIN pour répartir ces données.

Comme le cloisonnement appauvrit en données les fournisseurs de services, il existe donc un risque de ne plus pouvoir construire de la connaissance sur la base de données plus larges. Pour éviter ce risque, l’analyse devra être conduite par des entités dédiée qui se spécialiseront dans l’analyse et qui n’auront pas accès à des données d’identification directe.

Les connaissances issues de l’analyse de données pourront être revendues à des fournisseurs de services. Par exemple, les perspectives de trafic seront déterminées et vendues par une entité spécialisée à un fournisseur d’outil de navigation. Le tout en temps réel, bien entendu. Ici aussi le principe est de répartir et cloisonner pour diluer le risque.

Conséquences

Mettre en œuvre un tel modèle aura des conséquences importantes sur les relations commerciales.

Par exemple, une banque ne connaîtra plus l’identité de ses clients. Elles seront dépendantes des FIN pour communiquer avec eux. Elles pourront faire des demandes d’informations spécifiques dans le cas d’une évaluation de risque pour une demande de prêt. Si l’on prolonge le modèle de cloisonnement, les évaluations de risques seront effectuées par des sociétés indépendantes des banques.

Les contrôles de conformité, qui nécessitent de bien connaître les clients, seront également réalisés par des entreprises indépendantes. Le calcul de l’impôt, demandant un grand nombre de données sensibles, sera également réalisé par une entité indépendante, sous strict contrôle, et dont le code source de ses systèmes devra être publié.

Sans surprise, le cloisonnement des données engendrera le cloisonnement des fonctions en diverses entités indépendantes. Ceci ne devrait pas être un obstacle, car ce mouvement de spécialisation est déjà engagé depuis plusieurs années et croît avec la transformation digitale.

Sur demande d’un juge, certaines données devront être divulguées afin d’éviter que l’anonymat ne soit un paravent pour des activités illicites. Ces mécanismes de levée d’anonymat pourront même être automatisés, facilitant et fiabilisant ainsi le travail du juge.

Ce principe est à l’inverse des cryptomonnaies, comme le bitcoin, dont l’anonymat en fait une monnaie d’échange pour des activités criminelles. Sans compter que le bitcoin représente a priori l’anonymat parfait, mais en réalité lorsque vous payez ou encaissez des bitcoins, vous devez fournir votre numéro de compte bitcoin révélant ainsi le lien entre votre identité et votre numéro de compte. Et comme toutes les transactions bitcoin sont publiques – un des fondements du bitcoin – votre anonymat est perdu.

Protéger sa liberté face à l’État

C’est dans l’air du temps que de dépeindre les géants du Web comme des vampires qui se nourrissent de nos données, mais le risque est surtout de voir les États se servir de cette mine d’informations pour mieux contrôler les citoyens et ainsi asseoir leur pouvoir.

Les lois liberticides pleuvent en ce moment et les technologies permettent aujourd’hui aux États de tracer toujours plus finement chaque individu. En décembre 2019, le ministère de l’Intérieur a été mis en demeure par la CNIL pour non-respect du RGPD. Si cet exemple est anecdotique, la politique chinoise montre la puissance liberticide que lui confère la collecte sans limite des données personnelles.

La politique française montre aussi des tentations liberticides. L’incroyable loi Avia en est un exemple ; le confinement, un autre. Là où la technologie devrait nous libérer, elle sert aux États à mieux nous contrôler individuellement. L’anonymat proposé sera l’occasion pour les citoyens de se prémunir d’un État liberticide.

Pour permettre de collecter l’impôt de manière fiable sans révéler de données à l’État, là aussi des entités dédiées pourront apporter un calcul absolument fiable et automatisé sans révéler de données personnelles aux États.

Conclusion

En résumé, ce modèle a l’avantage de ne pas mettre de frein à la diffusion et l’exploitation des données, d’apporter une grande fiabilité, de faciliter la signature électronique, de remplacer carte d’identité, passeport, permis de conduire, acte notarial, de permettre le contrôle de ses données et surtout de permettre l’anonymat, sans empêcher la justice de se faire.

On réduit également les tentatives liberticides toujours plus fréquentes de la part des États. On se protège ainsi d’actions non voulues contre sa personne.

Nous devons nous interroger dès aujourd’hui sur le modèle de société que nous voulons. Et dans cette réflexion, la gestion des données personnelles tient une place importante. Ne négligeons pas ce débat.

Vous souhaitez nous signaler une erreur ? Contactez la rédaction.