Africa-Press – São Tomé e Príncipe. Créée à l’initiative du Conseil de l’Europe en 2006, la Journée de la protection des données est devenue désormais un évènement mondial. Claude Castelluccia est directeur de recherche à l’Inria (Institut national de recherche en sciences et technologies du numérique). Son équipe travaille sur la protection de la vie privée face aux usages numériques. Il est également commissaire à la Cnil, la Commission nationale de l’informatique et des libertés. A l’occasion du « Data Privacy Day », il répond aux questions de Sciences et Avenir-La Recherche.
« Ne pas diffuser en ligne des photos de sa famille ou de son environnement privé »
Sciences et Avenir: La Journée mondiale de protection des données du 28 janvier entend mettre l’accent sur la protection des données privées dans les pratiques liées au numérique. Où en est la perception du grand public sur ce sujet?
Claude Castelluccia: Les gens sont de plus en plus conscients du problème. Ils sont sensibilisés au fait qu’il ne faut pas divulguer les données personnelles à la volée. Mais il y a pourtant ce paradoxe, bien connu, de la distance entre les paroles et les actes dans la sphère de la vie privée: les usagers du numérique n’ont pas toujours un comportement adéquat, notamment sur les réseaux sociaux.
Peut-on donner des exemples… de ce qu’il ne faut pas faire?
Les bonnes pratiques relèvent du bon sens: il ne faut pas diffuser en ligne des photos de sa famille, de son environnement privé…
Les gens doivent comprendre qu’ils ne sont pas « entre eux ». Ces données sont souvent partagées au-delà de leur sphère d’amis ou du groupe sur lequel ils publient. Elles sont librement accessibles à n’importe qui sur Internet, et particulièrement aux plateformes qui les utilisent pour faire du profilage et de la publicité.
Les assurances peuvent aussi s’en servir pour détecter de la fraude. Désormais, ces datas sont de plus en plus utilisées pour entraîner les algorithmes d’apprentissage automatique (le « machine learning », ndlr).
« Tout ne peut pas reposer sur la vigilance des usagers du numérique »
Nos données personnelles peuvent même être revendues par des « data brokers » !
Les data brokers, ou courtiers de la donnée, récupèrent des données qu’ils utilisent pour eux-mêmes ou qu’ils revendent à d’autres. Collecter et revendre des data, c’est désormais le business de certaines entreprises (la société Acxiom est par exemple undata broker, ndlr).
Tout repose donc sur la vigilance des usagers du numérique?
Non. Ce serait injuste de dire simplement: « C’est aux gens de faire attention. » Il faut qu’il y ait des pratiques qui soient interdites et sanctionnées. Ainsi, une instance de régulation du numérique est nécessaire pour protéger les usagers, tracer des lignes rouges, désigner les comportements illégaux constatés sur le Web.
En France, ce rôle de régulateur est dévolu à la Cnil. Elle y applique le RGPD. Le Règlement général sur la protection des données a été défini à l’échelle européenne, la Cnil en fait des interprétations pour l’adapter au territoire national.
« Les développements de l’IA ne doivent pas rendre paranoïaque ! »
Un exemple de ces « interprétations »?
L’utilisation de la reconnaissance faciale dans l’espace public. Il n’est pas dit spécifiquement dans le RGPD que c’est interdit. Mais le RGPD stipule, par exemple, qu’un traitement doit être « légitime » et « proportionné » pour qu’il soit autorisé. Or, la Cnil a estimé que ce n’était pas le cas pour cet usage. Ainsi le RGPD donne les lignes directrices, et la Cnil est là pour interpréter la régulation.
L’une des recommandations récurrentes de la Cnil concerne les mots de passe…
Ils doivent être sûrs, assez longs, et il ne faut pas réutiliser les mêmes pour des services numériques différents.
La question de la protection des données n’est-elle pas encore fragilisée par les bouleversements actuels en intelligence artificielle?
Il ne faut pas sombrer dans la paranoïa. Je suis persuadé que l’intelligence artificielle peut être très bénéfique à la société. Prenez la médecine: des algorithmes permettent de détecter certaines pathologies ou cancers avec de très bonnes précisions. Ce seront de puissants outils d’aide au diagnostic ou à la décision.
Il n’en reste pas moins que pour la protection des données, l’IA présente des risques. Il est donc important de contrôler comment elle est développée et déployée: quels types de données les concepteurs de ces systèmes peuvent-ils utiliser pour entraîner leurs modèles? Quel contrôle donner aux internautes pour garder la main sur leurs données? Quels mécanismes de transparence peuvent être intégrés, pour lutter contre l’aspect “boîte noire” des algorithmes d’IA? La communauté scientifique devra pouvoir auditer les systèmes mis en place par des acteurs privés.
Il y a aussi un aspect important — prévu par le RGPD —, qui est le droit de s’opposer à un traitement complètement automatisé par les IA et de pouvoir demander qu’il y ait une intervention humaine dans les processus de décision.
Pour plus d’informations et d’analyses sur la São Tomé e Príncipe, suivez Africa-Press
