12min

Vie privée : il est urgent de s’inquiéter

L’hypersurveillance sous le regard de Franck Dumortier et Willem Debeuckelaere

Il y a un an, Médor lançait – avec votre aide – une vaste enquête sur l’hypersurveillance. Nous avions la tête pleine de questions : A-t-on raison de partager nos informations personnelles sans s’interroger sur leur utilisation, leur gestion et leur contrôle ? Toutes ces récoltes de données sont-elles vraiment nécessaires, pour notre bien ? Notre enquête a révélé un monde méconnu. Où le normal côtoie l’anormal. Le licite, l’illicite. Ce monde, celui de nos données personnelles, est en pleine expansion. Il est amené à se développer. Il nous concerne tous. C’est grave ?

interview_1.jpg
Sarah Fabre. CC BY-NC-ND

La crise du Covid pose de multiples questions sur la protection de notre vie privée. Les réponses à la fameuse « urgence sanitaire » (Covid Safe Ticket, application Coronalert,…) sont-elles proportionnées à la situation ?

W.D. Dans ma ville de Gand, une application contre le Covid a été développée. Elle prévoyait de localiser chaque personne pour mieux identifier les lieux de contamination. À titre personnel, j’y étais plutôt favorable. Les données n’auraient été accessibles qu’aux chercheurs et au corps médical. La géolocalisation, elle, devait être acceptée très clairement par l’utilisateur. On a fait un essai et il s’est montré très éclairant. J’ai 68 ans maintenant et, comme moi, les gens de mon âge se montraient plus favorables à cet outil que les jeunes, simplement parce que nous sommes plus vulnérables. Tout ça pour dire que la proportionnalité est un exercice nécessaire, mais très difficile. Cette notion dépend des expériences spécifiques et individuelles. Est-ce qu’on a, dans cette crise, respecté la notion de proportionnalité ? À mon sens, oui. L’application Coronalert, sans géolocalisation, a d’ailleurs finalement été préférée.

F.D. L’utilisation d’un Covid Safe Ticket pour interdire l’accès à des lieux, c’est problématique. De l’avis même des médecins, le CST ne protège pas contre la contagion. On discrimine sans justification. Là, il y a un problème de proportionnalité. On va trop loin. Raison pour laquelle il y a des recours en justice. Et c’est un autre problème : aujourd’hui, on considère qu’un système est proportionné tant qu’un recours n’est pas gagnant. Mais c’est renverser la logique démocratique. Comme si c’était au citoyen de démontrer que quelque chose ne va pas…

L’Autorité de protection des données (APD) est le principal organe de contrôle du gouvernement dans cette matière sensible. Ses membres sont nommés et révoqués par le Parlement. Cet organisme veille à la protection de la vie privée dans le traitement des données personnelles en Belgique. Or, il s’est également montré très critique durant la crise…

F.D. En effet. Pour moi, l’APD a très bien fonctionné. Il suffit de lire les avis extrêmement bons qui ont été rendus. Oui, il y a eu des problèmes sur la proportionnalité. Les critiques sont gigantesques, tant au niveau du tracing et de la base de données vaccination qu’au niveau du Passenger Locator Form (le document à remplir quand on veut voyager), pour lequel il y a eu des transferts d’information vers la police. Même l’organe de contrôle de l’information policière a été extrêmement critique quant à la proportionnalité de ces traitements. De manière générale, les avis sont critiques. Malheureusement, ils ne sont pas contraignants et n’ont pas toujours été suivis par le gouvernement.

C’est une réalité déjà dénoncée il y a plus d’un an par Alexandra Jaspar, une des directrices de l’APD, qui a entre-temps démissionné… Prendre des décisions, pendant une crise, c’est risquer de mettre en place des choses irréversibles ?

F.D. C’est le grand danger de ce genre de moments. On a eu la même chose après les attentats. Lutter contre le terrorisme ou une crise sanitaire sont des objectifs légitimes. Tout est une question de moyens et de durée dans le temps.

Et votre verdict ?

F.D. Des législations « d’urgence » perdurent et ne sont pas supprimées quand les niveaux de risque diminuent. On l’a vu pour le terrorisme. Sur le plan sanitaire, le risque est présent également.

Par exemple ?

F.D. Je ne suis pas médecin mais, d’après ce que je lis, le variant omicron est certes plus contagieux, mais moins létal. Pourtant, c’est maintenant qu’on discute de l’obligation vaccinale et de transformer le CST en pass vaccinal au Parlement. Ce qui m’inquiète, c’est que les citoyens et les gouvernements s’habituent à ce que des traitements de données automatisés soient mis en place sur des téléphones pour permettre l’accès à des lieux et des services. C’est un des grands dangers.

illustration_sante_4.original.jpg
Sarah Fabre. CC BY-NC-ND

Vous avez évoqué la menace terroriste. Est-il pertinent de faire un parallèle entre la crise sanitaire et les attentats qui ont touché la Belgique, comme si l’urgence et l’émotion nous gouvernaient ?

W.D. Je ne sais pas (il souffle). C’est une question intéressante. Euh, sur les conséquences, il y a une grande similitude. Avant d’accepter une forme d’urgence, il faudrait accepter de laisser tomber des mesures quand la crise est passée. Cela devrait être un préalable… Fin des années 1990, j’étais au cabinet du ministre de l’Intérieur. On débattait pour savoir si les caméras utilisées aux carrefours, pour vérifier que les conducteurs ne brûlaient pas un feu rouge, ne violaient pas la vie privée. Aujourd’hui, plus personne n’en parle. Et ce n’est pas un cas unique. Les responsables politiques, mais aussi les utilisateurs et le public, acceptent beaucoup de contrôles. Cela me choque toujours.

Quant à la manière dont on récolte, gère et croise les données, un retour en arrière est-il possible ? Si on s’aperçoit d’une dérive, par exemple…

W.D. Je pense qu’à un moment donné, il faut porter plainte à l’APD pour attirer l’attention sur des mécanismes d’échanges de données qui ne sont plus justifiés. Et il faut que l’APD assume son rôle. Elle a le droit d’annuler une législation ou un accord de coopération et d’interdire un échange de données.

Où sont les contrôleurs ?

Justement, comme l’a démontré notre enquête, il y a de nombreux problèmes dans la gestion et le contrôle de nos données. L’APD, par exemple, est gangrenée par des conflits d’intérêts et critiquée pour des problèmes d’indépendance.

W.D. Un contrôle démocratique existe. Il y a toujours un Parlement et des instances qui surveillent celui qui surveille. Mais on doit être honnête. Il y a, à mon avis, trois grands problèmes. Premièrement, le fonctionnement de l’APD, avec ces discussions internes qui ont diminué la force de l’institution. Ensuite, notre structure institutionnelle : l’association entre les institutions du fédéral et des entités fédérées ne fonctionne pas sur ces questions. Le troisième problème est la prolifération des autorités de protection de la vie privée en Belgique.

F.D. Une illustration pour aller dans le même sens. L’APD – on y revient – ne peut pas imposer d’amendes aux autorités publiques parce que le législateur n’en prévoit pas. Par contre, cet organisme rend des avis sur des propositions de loi. Il est important qu’il soit indépendant. Or, ce n’est pas le cas. Il est anormal que des mandataires publics soient juges et parties. Willem Debeuckelaere défend qu’il y a un contrôle démocratique sur ces enjeux parce que le Parlement est là pour y veiller. Je n’ai pas la même vision.

Frank Robben a démissionné de l’APD, début février. Sans ça, l’Union européenne aurait pu sanctionner la Belgique. Ce haut fonctionnaire incarnait la confusion entre le contrôlé et le contrôleur, lui qui était à la fois l’architecte du système de partage des données de santé et un membre influent de l’APD, l’organe chargé de rendre des avis sur des dossiers sur lesquels il était impliqué. Copieusement critiqué, il a résisté à la pression politique et médiatique pendant des mois, preuve de sa toute-puissance. Son retrait va-t-il tout solutionner ?

W.D. Le climat va être plus serein. Personnellement, j’ai toujours bien travaillé avec Frank Robben, une personne très compétente sur le plan juridique et informatique. Je n’ai jamais cru un instant qu’il était un ennemi de la vie privée. J’insiste et j’exagère un peu l’éloge, mais c’est pour contrebalancer l’avalanche des critiques. Ce n’est pas le diable…

F.D. Je n’ai rien contre la personne, mais je suis content que ça soit résolu. Il y avait un problème d’incompatibilité légale. Je regrette que le Parlement n’ait pas osé prendre position alors qu’il a le pouvoir de nommer et de révoquer les membres de l’APD. La situation était connue depuis deux ans. Frank Robben était tellement fort que les partis de la majorité n’ont pas osé le démettre et il a fallu attendre sa démission, décidée sous la pression européenne. Tout n’est pas résolu pour autant. Il y a encore des conflits d’intérêts au sein de l’APD et le rôle du Comité de sécurité de l’information (CSI) reste problématique.

Le CSI, c’est ce machin opaque et très politisé qui délibère et autorise la réutilisation de nos données suite à une demande d’organismes publics ou d’institutions (pour de la recherche, par exemple) et qui se substitue au Parlement…

F.D. Cette situation a été critiquée par le Conseil d’État. Une défaillance dans l’État, ça peut arriver. Mais on doit avoir un organe de contrôle qui prenne des mesures. Or, jamais il n’y a eu de contrôle sur les délibérations du CSI. On n’a même pas un inventaire des flux de données dans le secteur public. Pour savoir comment ses propres données sont traitées, le citoyen devrait faire des recherches parmi les 10 000 délibérations de ce comité…

Députés amorphes

Le Parlement, justement, semble être aux abonnés absents sur les questions de vie privée. Pourquoi est-il si faible ?

F.D. La Vivaldi est une majorité particulière. Tous les partis y sont représentés sauf le PTB, le Vlaams Belang, la N-VA, le cdH et DéFi. Ce qu’on ressent, c’est qu’aucun parti du gouvernement n’accepte de reconnaître les erreurs qui ont été commises dans le passé. Il y a aussi une politisation extrême dans les autorités de contrôle. Cela pose question.

W.D. Il ne manque pas seulement de courage, mais aussi d’informations et d’appuis. J’ai constaté dans la commission Justice de la Chambre qu’il y avait un manque énorme de connaissance de la part des parlementaires. C’est affolant.

La Belgique est un pays compliqué. Ici, on a une grande coalition de partis très différents (la Vivaldi), unis pour empêcher l’extrême droite d’arriver au pouvoir, mais limités dans leur action. Sur des questions sensibles comme le respect de la vie privée, cette torpeur démocratique est-elle encore plus redoutable ?

F.D. La crise du Covid est un bon exemple. On a eu pas mal de dispositifs intrusifs (CST, PLF, Coronalert). Qui met en place les normes ? Le fédéral, avec la Vivaldi. Tous les partis ont intérêt à s’entendre et il y a eu un accord politique fort lors de cette gestion de crise. Le gouvernement a profité d’un système qui lui permet d’atteindre ses objectifs de manière efficace avec des concepteurs qui écrivent des textes, qui influencent l’avis sur ces textes, gèrent l’infrastructure numérique et autorisent même la gestion des données pour les recherches. Évidemment, ça aide…

À quoi ?

F.D. Prenons un exemple très simple. Pourquoi le gouvernement fédéral a-t-il permis que le service de tracing ait les photos des poumons de patients positifs ? En quoi est-ce nécessaire ? On a appris que c’était pour faire du triage dans les hôpitaux. OK, très bien. Puis des scientifiques ont utilisé ces photos pour développer des algorithmes d’intelligence artificielle. OK, très bien. Mais la moindre des choses, quand des données de citoyens sont utilisées, c’est de les prévenir et d’indiquer cette finalité dans les normes. La confiance du citoyen en pâtit et la transparence des traitements effectués sur des données sensibles, en plein milieu de la crise, manque au programme. Il y a un problème d’opacité. Mais comme le gouvernement est efficace avec un tel système, il n’a pas envie d’y mettre fin.

Pas touche à mon GSM

On a parlé de l’État et de son fonctionnement, mais entrons un peu dans la sphère familiale. Avez-vous déjà utilisé des outils de géolocalisation avec vos proches, en famille ? Pour veiller à la sécurité d’un enfant par exemple ?

F.D. (Étonné.) Cela ne me viendrait pas à l’idée.

Peut-être un proche a-t-il déjà lu une notification, un message sur votre mobile ?

F.D. Avec ma copine, on est extrêmement vigilants sur ces questions. On a chacun notre ordinateur, notre téléphone et jamais cela ne serait possible ni envisageable, qu’on puisse aller regarder dans les affaires de l’autre. Cela me paraît essentiel.

W.D. Chez moi, on a toujours été rigoureux sur ces questions. On a beaucoup dit que les jeunes n’avaient pas le sens de la protection de la vie privée. C’est faux. Les ados sont les plus doués pour protéger leur vie privée, notamment vis-à-vis de leurs parents, et c’est très bien ainsi.

medor_famille_novembre.original.jpg
Sarah Fabre. CC BY-NC-ND

Cette arrivée des smartphones, où on cache une part de nous derrière un mot de passe, a tout de même révolutionné notre quotidien…

F.D. Un des gros problèmes en termes de protection des données, c’est l’existence de mots de passe. Qui dit mot de passe dit fuite de données probable. Il faut que cela cesse. On a suffisamment de moyens pour s’en passer et s’identifier de manière plus sécurisée, avec des systèmes comme Itsme, par exemple.

W.D. Il faut garder une éthique personnelle. On ne regarde pas dans le smartphone de quelqu’un d’autre, sauf dans des conditions d’extrême urgence ou de fragilité…

F.D. Quelque chose m’inquiète avec les smartphones. Au départ, c’est un téléphone. Puis, en payant avec notre portable, en nous connectant aux réseaux sociaux, on a commencé à avoir des interactions avec le secteur privé qui a commencé à collecter énormément de données sur nous. Ce qu’on constate maintenant, c’est que le secteur public aussi s’intéresse à nos smartphones. Lui a un pouvoir de contrainte que n’a pas le secteur privé sur le citoyen. Si le smartphone devient un outil politique, de gouvernance, ça pose question. Si on peut commencer à exclure des personnes d’allocations sur la base de leurs mouvements, ça va bien plus loin que du simple profilage à des fins publicitaires. C’est une crainte supplémentaire.

Notre smartphone récolte aussi énormément de données via de nombreuses applications. En a-t-on assez conscience ?

F.D. Le RGPD, pour les traitements de données dans le secteur privé, insiste sur le consentement et le contrat. Comme si chaque individu savait exactement ce à quoi il s’engage pour ses données quand il clique sur « J’accepte les conditions ». Il faut constater que c’est assez illusoire. Qui sait quels traitements de données sont réalisés ? L’enseignement et la sensibilisation sont essentiels. Nous ne sommes qu’au début de ces enjeux.

L’âge d’or des données

Facebook peut mieux connaître une personne que son propre conjoint. Comment fait-on pour éviter de laisser filer ses données ? La réponse peut-elle se trouver à l’échelle individuelle ou doit-elle passer par le collectif ?

W.D. La réponse au niveau individuel est impossible. On ne peut pas négocier avec Facebook. À la commission Vie privée, quand on a voulu négocier, Facebook nous a ignorés et on a dû aller en justice (NDLR : l’entreprise est accusée de tracer et de traiter de façon illégale ses utilisateurs, mais également ceux n’étant pas membres du réseau). La procédure dure depuis maintenant sept ans, ce qui demande beaucoup d’énergie et d’argent. La solution ne peut pas être individuelle.

F.D. Par contre, un individu peut faire le choix de tel ou tel service. Moi, je suis sur Facebook. Je ne poste quasiment rien. Je regarde ce que les autres racontent et parfois je discute avec eux, mais je ne vais rien exposer de ma vie privée. Il ne faut pas être radical non plus. Les « réseaux » permettent une certaine socialisation, mais il me semble important de connaître la logique qui se cache derrière, d’être informé pour faire ses choix.

Assiste-t-on, avec la numérisation, à l’avènement d’une datacratie où les humains ne sont pris en considération qu’à travers l’analyse par des algorithmes de leurs « jumeaux numériques » ?

F.D. Cette datacratie, on y est et on va y aller de plus en plus. Mais ça ne veut pas dire que c’est la fin du monde. Ce qui intéresse le politique, c’est de prendre des décisions sur la base de données. Un algorithme permet déjà de détecter des fraudes sociales. C’est important, évidemment. Mais ces algorithmes doivent être transparents et discutés au Parlement. Il faut une transparence et une intervention humaine pour aboutir à une décision, c’est très important. Peut-on prendre une décision uniquement sur la base de données et d’analyses à froid, difficilement contestables ? Si le politique se résout à ces choix pour prendre une décision, ça me fait peur en tant que citoyen.

Comment faire face aux opérateurs privés, très offensifs, qui veulent mettre la main sur de nombreuses données, notamment médicales ?

W.D. C’est un travail important pour le législateur. Il doit mettre des barrières. La loi dit clairement, par exemple, que les données génétiques ne peuvent pas être traitées par les assureurs. C’est clair, limpide, facile à comprendre. On a besoin de telles interdictions. Quand je vois les problèmes des diabétiques ou d’anciens malades du cancer pour souscrire à une assurance ou un prêt… Je pense qu’il faut interdire aux assureurs de traiter ces informations. Les parlementaires doivent intervenir.

Est-ce que la vie privée pourrait n’être qu’une parenthèse dans l’histoire de l’humanité ?

W.D. J’ai peur que cela puisse être le cas. J’espère que non, mais quand on voit les évolutions en Chine, ça pose question. Chez nous aussi, l’intelligence artificielle et les big data sont des enjeux énormes. On va devoir trouver le juste milieu. On doit faire des choix économiques, mais aussi sociétaux. À quoi veut-on aboutir ? Il y a ce concept de proportionnalité, qui est fluide, qui n’est pas facile à trouver, mais qu’on doit sauvegarder.

F.D. Sans droit à la protection des données à caractère personnel, pas de droit à la liberté d’expression, pas de liberté de culte, pas de liberté de mouvement. Pour la santé, c’est la même chose. L’enjeu est de faire une balance. Cette balance n’est inscrite nulle part dans la loi. Le respect de la vie privée est un processus, je ne pense pas que ce soit une parenthèse. Il faut renforcer la vision que, sans ce droit fondamental, on court le risque d’une fin de démocratie.

HS_Police_2.original.jpg
Sarah Fabre. CC BY-NC-ND
Tags

Dernière mise à jour

Un journalisme exigeant peut améliorer notre société. Voulez‑vous rejoindre notre projet ?

La communauté Médor, c’est déjà 3400 abonnés et 1859 coopérateurs

Vous avez une question sur cet article ? Une idée pour aller plus loin ?

ou écrivez à pilotes@medor.coop

Médor ne vous traque pas à travers ses cookies. Il n’en utilise que 3 maximum pour la sécurité et la navigation.
En savoir plus