par Vincent Leclerq
A l’heure où le business des données personnelles explose, la confidentialité des données et la protection de la vie privée peuvent-elles être encore préservées ? Que peut bien faire la CNIL face à des géants industriels dont certains s’affranchissent en toute impunité de la réglementation ?
A chaque fois que l’on fait une recherche sur Google, que l’on like une page Facebook, que l’on utilise une application sur son smartphone ou que l’on fait un achat en ligne, on laisse des traces qui vont être captées, analysées, stockées, transmises… Elles seront utilisées pour élaborer le profil de l’utilisateur à des fins commerciales ou publicitaires, dans le but de personnaliser les messages et les offres qui lui seront adressés, en fonction de ses besoins, de ses envies ou de ses habitudes. Pour contrôler ces usages de nos informations personnelles, la CNIL est censée veiller et sanctionner ceux qui se moqueraient du respect de la vie privée des citoyens. Mais est-elle suffisamment armée et déterminée pour exercer son pouvoir de contrôle et de sanction ?
Un contexte « pro-business »
On peut en douter quand on observe les forces en présence : d’un côté, de grands industriels du web et de la donnée, forts de leur puissance financière et de leur avance technologique ; de l’autre une instance de contrôle, la CNIL (Commission nationale de l’informatique et des libertés), qui peut certes s’appuyer sur une réglementation solide, mais manque de moyens pour la faire appliquer. « La CNIL manque de moyens face à ses nouvelles missions », reconnaît elle-même Isabelle Falque-Pierrotin, présidente de la CNIL, dans un entretien au Figaro le 22 janvier 2018. « Le but de la CNIL n’est pas de sanctionner tous azimuts, mais de faire en sorte que le cadre juridique soit respecté », explique-t-elle également au Monde, le 25 janvier 2018. « La sanction est pour nous une arme de dissuasion. Nous en prononçons une quinzaine par an, ce n’est pas avec ce seul outil que nous allons régler tous les problèmes ». « La CNIL fera preuve de souplesse et de pragmatisme », confirme-t-elle dans un entretien aux Echos, le 18 février 2018. « Il ne faut pas voir le RGPD comme un couperet en 2018 », déclare également Isabelle Falque-Pierrotin dans Contexte, le 19 juin 2017. « Il faut déconstruire cette idée qu’il y aura un coup de tonnerre en mai 2018 et que, comme des petits soldats, il faut que les entreprises soient prêtes à 100 %. Qui peut être prêt à 100 % sur des questions de données alors qu’elles sont aussi distribuées qu’elles le sont aujourd’hui ? Ce ne serait pas raisonnable. Les régulateurs – et la CNIL en particulier – sont pleinement conscients de cette situation ».
Le florissant marché des données personnelles
Les données personnelles sont devenues des denrées très prisées et leur production massive alimente aujourd’hui de nombreuses activités. Selon le cabinet IDC, le marché des données des citoyens en Europe s’élevait à 60 milliards d’euros en 2016 et devrait atteindre 80 milliards en 2020.
Pour respecter la réglementation, la collecte et le traitement des données personnelles doivent être consentis par les utilisateurs, avoir des finalités respectueuses des droits et libertés des individus, être nécessaires, proportionnés et sécurisés. Or force est de constater que ces exigences sont rarement respectées. Quelques condamnations récentes sont venues le rappeler. La Commission nationale de l’informatique et des libertés (CNIL) a notamment condamné Facebook pour atteinte à la vie privée, pour six manquements graves à la loi, dont « la combinaison potentiellement illimitée de toutes les données des utilisateurs… sans qu’ils puissent mettre fin au suivi massif dont ils sont l’objet ».
Mais les sanctions restent pour l’instant assez rares et plutôt légères. Certains fondent de grands espoirs sur le nouveau règlement général sur la protection des données (RGPD), qui entre en vigueur en Europe mai 2018 et introduit des sanctions très lourdes, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires. « Voilà qui commence à être dissuasif et va contraindre chacun à respecter des règles qui ne l’étaient que rarement », espère ainsi Me Alain Bensoussan, spécialiste du droit des technologies, cité par Le Monde en mai 2017.
Les GAFA (Google, Apple, Facebook ou Amazon) trustent la plus grande partie du marché des données personnelles. Ils ont la mainmise sur la collecte, sur les algorithmes de ciblage et sur l’espace publicitaire. A leurs côtés, fleurissent également des data brokers, des courtiers en données, dont la vocation est d’acheter une grande masse de données personnelles pour les agréger et les analyser, avant de les revendre à des sociétés. Pendant ce temps, les internautes ignorent le plus souvent les données personnelles qui sont utilisées et l’usage qui en est fait. Ils ne savent pas non plus à quoi servira le profilage sociologique et comportemental réalisé dans l’ombre ni dans quelles mains il pourrait tomber.
Les données de santé en danger
Les données personnelles de santé sont les plus intimes et sont donc les mieux protégées par la loi. Dans ce domaine, d’ailleurs largement investi par les GAFA, l’absence de contrôles et de sanctions fait courir de vrais risques aux citoyens.
Les nombreux objets de santé et dispositifs médicaux connectés, qui arrivent depuis quelques années sur le marché pour relier les patients aux médecins via des liaisons Bluetooth et des connexions Internet, affichent de belles promesses pour l’amélioration de la santé, mais peu de garanties pour la protection des données. Comme l’ont montré différentes recherches, enquêtes ou études, la plupart de ces appareils ne respectent pas la réglementation, en particulier du fait du mode de transmission des données qu’ils utilisent et qui n’est pas suffisamment sécurisé. Ils présentent de nombreuses failles de sécurité et peuvent être facilement piratés.
La question se pose évidemment avec une gravité particulière lorsqu’il s’agit de dispositifs médicaux implantés comme les pacemakers, les défibrillateurs automatiques ou les pompes à insuline. Si les données de santé captées par ces systèmes venaient à être piratées, corrompues ou rendues indisponibles, au-delà de la question de l’accès aux données, la vie du patient pourrait en effet être mise en danger.
La question se pose également de l’utilisation de ces données très privées par des tiers qui pourraient y avoir accès. Outre le patient et le médecin, ces données peuvent être utilisées par le fabricant ou l’un de ses partenaires à des fins de statistiques, d’études ou de recherches. Mais jusqu’où va ce partage des données ? Le patient ne connaît généralement pas tous les acteurs impliqués ni leurs objectifs. Si ces données arrivaient par exemple dans les mains d’assureurs, de banquiers ou d’employeurs, ne pourraient-elles pas alimenter une forme de discrimination fondée sur des informations censées rester privées ? Le secteur des organismes complémentaires et des mutuelles s’est déjà prémuni contre les accusations en ce sens et ne « consomme » que des données anonymisées à bref délais, preuve que la chose est techniquement possible. Du côté des industriels des objets de santé connectés, certains bénéficient d’une prise en charge par la sécurité sociale sans disposer de l’agrément d’hébergeur de données de santé : le système connecté Latitude de la société Boston Scientific n’a, par exemple, reçu son agrément d’hébergeur de données de santé (HADS) qu’en 2015, alors que ses produits sont inscrits sur la liste de Produits et des prestation remboursables (LPP) depuis 2011.
Le monde médical n’est pas sans lien avec le monde des affaires et les intérêts de certains médecins vont parfois dans le même sens que les industriels. En effet certains professionnels de la santé, dont la préoccupation principale devrait être la santé publique, peuvent avoir tout intérêt à promouvoir la télémédecine. On pense notamment au cardiologue Arnaud Lazarus qui intervient régulièrement comme expert sur ces questions en tant que membre de la Commission Télémédecine de la Société Française de Cardiologie tout en étant salarié d’industriels comme Boston Scientific ou Medtronic.
Peut-on encore compter sur la CNIL ?
Le sujet est complexe, mais il y a clairement des industriels qui ont profité du manque de vigilance de certains organismes de contrôle, dans un contexte de promotion de la télémédecine. La CNIL fait figure de suspect numéro un et sa détermination laisse clairement à désirer, surtout dans un nouveau contexte français clairement « pro-business », où la réglementation tend à être vue avant tout comme une contrainte pour les entreprises, un frein au progrès technologique, une entrave au développement des « pépites » de la « French Tech », voire un désavantage compétitif pour la France face aux Américains et aux Chinois qui, eux, se sont lancés sans états d’âme dans le business du Big Data. On peut s’interroger en particulier sur l’effectivité du contrôle des dispositifs médicaux connectés à l’heure où le développement de la télémédecine a quasiment été élevé au rang de cause nationale par le nouveau président de la République.A l’heure où le business des données personnelles explose, la confidentialité des données et la protection de la vie privée peuvent-elles être encore préservées ? Que peut bien faire la CNIL face à des géants industriels dont certains s’affranchissent en toute impunité de la réglementation ?