Données personnelles • Pourquoi le RGPD est déjà dépassé

Cyrille Dalmont, chercheur associé à l’Institut Thomas More

        

25 novembre 2019 •


Les données personnelles ne représentent qu’une proportion infinitésimale des traces numériques que nous laissons. C’est pourquoi le Règlement européen de protection des données (RGPD), fondé sur de simples fichages basiques, est caduc à peine né.


Une nouvelle fois, la stratégie commerciale des Gafam dans le secteur de la santé s’invite dans l’actualité. Cette fois-ci, c’est Google qui est épinglé par le Wall Street journal au sujet de son projet Nightingale (« Rossignol » en français), jusqu’ici resté plutôt discret et qui lui a permis de recueillir les données personnelles sur la santé de millions d’Américains grâce à un partenariat avec Ascension, le deuxième réseau de santé aux États-Unis.

La collecte et le traitement des données des patients est en effet devenu un enjeu majeur pour les Gafam qui souhaitent se tailler la part du lion dans le business de la santé en devenant « tiers de confiance » entre le patient et le soignant.

Par sa dimension intime, affective ou dramatique, le domaine de la santé met plus que tout autre en lumière la stratégie globale des géants du numérique qui cherchent à investir tous les champs de la vie économique ou sociale. Cette stratégie repose sur la captation massive de données, si insignifiantes puissent-elles paraître de prime abord, et leur traitement au travers d’algorithmes ou d’IA afin de nous connaître mieux que notre propre médecin, parfois mieux que nous-même. Cette collecte ne s’arrête pas à la porte du cabinet médical ou de l’hôpital mais nous suit dans notre quotidien, à chaque seconde de la journée dans notre vie professionnelle, personnelle ou familiale.

Quoiqu’on en pense et bien qu’éthiquement très contestable, cette pratique est légale aux États-Unis. Mais qu’en est-il en Europe ? Le fameux Règlement général sur la protection des données (RGPD), adopté en 2016 et applicable depuis mai 2018, constitue-t-il une garantie satisfaisante ?

Nullement. Ce bouclier ultime, constitue une ligne de défense déjà dépassée. En effet, si elle garantit les individus contre l’arbitraire de fichages que l’on peut qualifier de basiques (sexe, race, orientation sexuelle, tendance politique ou syndicale, etc.), la protection des données personnelles est inefficace contre la « concaténation » de données brutes non-personnelles qui, une fois agrégées et reconstituées, permettent d’arriver au même résultat.

Dans son livre Disruption : Intelligence artificielle, fin du salariat, humanité augmentée, Stéphane Mallard fait la démonstration technique du caractère illusoire du principe de la protection des données personnelles quand les géants de la tech disposent de données brutes innombrables et extrêmement précises. En effet, en assemblant une foule de données concernant par exemple nos déplacements (de notre lieu d’habitation, de travail, de vacances etc.), nos habitudes (types de produits consommés, requêtes sur les moteurs de recherche, etc.), les personnes que nous rencontrons (croisements de données de plusieurs utilisateurs), les paiements que nous effectuons, nos heures de réveil et de couché, le tout recoupé avec les données brutes équivalentes des autres occupants de notre domicile ou des autres salariés de notre entreprise (également équipés d’appareils connectés), les Gafam peuvent obtenir un profilage non-personnel plus efficace, plus précis et possédant une valeur marchande bien plus importante que les quelques données personnelles aujourd’hui protégées par le RGPD.

En outre, dès sa conception, le règlement européen a reposé sur une logique qu’on peut qualifier de mercantile, c’est-à-dire concevant la donnée personnelle comme une marchandise et non comme une information méritant protection au titre des libertés individuelles.

En outre, la proportion des données que l’on peut qualifier de personnelles dans la multitude des traces numériques quotidiennes représente une proportion infinitésimale. Nous sommes donc aujourd’hui face à une protection plus déclarative que réelle.

La numérisation massive et très rapide de nos sociétés et les moyens financiers démesurés dont disposent les géants du numériques nous obligent donc à inventer d’urgence des mécanismes beaucoup plus protecteurs qui aillent bien au-delà de la simple protection des données personnelles. Ce travail, de salut public est primordialement politique.