Un régulateur en avance sur le déploiement des technologies

La régulation serait toujours en retard et en réaction par rapport aux avancées des entreprises privées. Vraiment ? Le Laboratoire d’Innovation Numérique de la CNIL prouve le contraire. Régis Chatellier, chargé d’études innovation et prospective, a pour mission d’explorer les usages du numérique en cours et à venir en mobilisant les sciences sociales pour dépasser les visions historiquement juridique et technologique, ainsi être en capacité d’avoir un temps d’avance et mieux protéger les données personnelles. Le récent appel participatif à « fragments de futurs » [Nos vies numériques en 2030] en est un bel exemple. À votre imagination !

Quels sont les enjeux principaux dans la protection des données aujourd’hui

 Dès les années 70, nous avions pu voir des efforts nationaux au sein de l’union européenne pour protéger les données collectées principalement par l’État. Puisavec la révolution numérique, on a assisté à une explosion de la collecte des données personnelles, plus uniquement par l’État, mais par le secteur privé. Suite à une directive européenne de 1995 sur la protection des données qu’il fallait moderniser, l’Union européenne s’est dotée depuis 2016 d’un cadre européen unifié : le fameux règlement général sur la protection des données4 (RGPD), en application depuis 2018. De grands principes simples, et une application plus complexe. Ce fut une réelle avancée législative majeure à la hauteur de la protection des droits fondamentaux déjà présente dans le droit européen5, avec la vision que les données émanent des personnes. D'ailleurs, même si le cadre est plus strict pour les acteurs, il leur prodigue une sécurisation juridique et leur permet ensuite d’aller sur d’autres marchés moins exigeants. De plus, le RGPD a contribué à rendre le sujet plus visible. À l’inverse, les États-Unis ne se sont pas dotés de cadre légal unifié et délèguent la question des données à la Federal Trade Commission, qui l’aborde d’un point de vue commercial.

 Or l’avancée du RGPD dépasse largement les frontières de l’Union européenne (UE). Primo, le texte ne s’adresse pas qu’à l’émetteur, mais à tout acteur qui traite sur le territoire européen, ou alors des données des Européens, même s’il est implanté hors UE. Et comme l’Europe représente un très gros marché de 500 millions d’habitants, les acteurs internationaux doivent le prendre en compte. Secundo, un tel outil pourrait permettre de continuer à protéger les données alors même que le RGPD fait des émules aux États-Unis, en Inde, au Brésil, au Japon, etc. (sauf en Chine, cas bien particulir). Il motive ainsi l’adoption de cadres similaires de protection des données ailleurs dans le monde, ainsi que tous les grands enjeux internationaux des données. 

 Comment vous préparez-vous à protéger les données des Français dans le monde de demain

 Déjà avec l’application dans les faits depuis 2 ans en France du RGPD, dont la CNIL a le mandat, nous avons encore des choses à faire pour que ça s’améliore. 

 Nous avons aussi beaucoup de travail avec les nouveaux sujets. 

 Par exemple, nous avons écrit le premier gros rapport sur l’éthique de l’IA et de l’algorithme, parfois à la lisière de nos sujets quand on parle de biais. En effet, les mandats de la CNIL sont très précis et la caractérisation des biais dépend du défenseur des droits. Pour autant, certains biais prennent leur source dans les données personnelles analysées par les algorithmes. Plus largement, l’IA pose de vraies questions très techniques sur les protections des données et interpelle plusieurs domaines du droit (droit de la concurrence, protection des consommateurs, droit des personnes, etc.). L’enjeu est d’arriver à travailler ensemble sur les différents cadres du droit et problématiques : entre régulateurs nationaux (« interrégulation »7) et avec d’autres instances à l’étranger. 

 Nous avons plus récemment publié un rapport sur la reconnaissance faciale8 qui décortique les enjeux liés à l’identification et à l’authentification. Avec les technologies sans contact, les droits des personnes sont difficiles à renforcer : nous nous sommes positionnés comme premier expert de ces sujets, avons demandé au législateur de fixer des lignes rouges aux usages de ces technologies, après un réel débat démocratique, avant d’expérimenter trop largement. 

Tout d’abord, l’authentification donne par exemple la possibilité à une utilisatrice d’utiliser son visage pour déverrouiller son téléphone: elle scanner une première fois son visage pour déterminer un gabarit téléphonique biométrique, sorte d’ »empreinte » du visage qui va être stockée dans le téléphone, et pourra ensuite comparer tout nouveau Scan avec le premier. Si c’est bien fait, qu’il n’y a pas ou peu de risque. C’est très différent avec l’identification ! L’identification c’est par exemple une caméra dans l’espace public qui traite chaque visage pour identifier des passants. Derrière, il faut que le système ait accès à une base de données unique immense pour pouvoir apparier les visages filmés avec ceux de la base de données et vérifier en temps réel l’identité des gens. Les problématiques sont nombreuses. Les risques de sécurité si cette base de données est récupérée, d’autant que contrairement à un mot de passe, un visage ne change pas. De plus, toutes ces technologies sont probabilistes et nécessitent de fixer un taux de tolérance à l’erreur:si nous voulons être sûr de trouver la personne que l’on cherche, il y a aura de nombreux faux positifs, en revanche la manquer. Et en plus, ces technologies fonctionnent moins bien avec les personnes de couleur, les femmes, les enfants. On est donc en mesure de se demander : quelle est l’utilité réelle de la reconnaissance faciale en démocratie. 

 Au-delà de la protection, nous nous intéressons aussi à la capacité des personnes à évoluer dans l’espace numérique. Avec notamment l’Article 20 du RGPD relatif au droit à la portabilité des données. L’enjeu pour les consommateurs est de pouvoir récupérer leurs données personnelles collectées par un organisme tiers et de gérer leur libre circulation d’un service à l’autre, sous le contrôle des individus: c’est l’enjeu concernant la concurrence des autodétermination informationnelle. L’enjeu concernant la concurrence des services est d’éviter les effets de verrouillage qui rend difficile le passage d’un service à l’autre. En effet pour de nombreux services, un long historique de données permet une bonne qualité de service. La CNIL s’intéresse à ce sujet depuis plus de 7 ans: nous voulons que les personnes deviennent acteurs de leurs propres données (de santé, génétiques, etc.). Du côté des vendeurs de service, il y a aussi un effort à faire pour sélectionner uniquement les données dont ils ont besoin, et non plus en agréger un maximum. 

 Pourriez-vous préciser le travail du LINC — Laboratoire d’Innovation Numérique de la CNIL

Au LINC, et notamment dans nos activités de prospective, nous adoptons une approche du numérique au sens large. Par une activité de veille sur différents sujets, nous repérons les différents champs et usages qui pourraient poser question demain, et nous en développons une première analyse. 

 Nous publions de plus des informations figées dans le papier avec nos « cahiers IP » de prospective (nous préparons le 8e), dans lesquels nous choisissons un angle et un sujet que nous creusons. Pour exemple, en 2013 dans notre cahier IP sur le « quantified self» et les données de santé nous avions très vite repéré que ces données de « bien-être » sont aussi des données de santé et pourraient intéresser les assureurs. Aujourd’hui c’est une réalité: aux États-Unis, certains assureurs conditionnent leur tarif à certains usages de capteurs. Dans un autre cahier, nous avons abordé la question des algorithmes de recommandation sur les données culturelles qui en disent beaucoup sur nous. 

 En 2017, nous avons approfondi le sujet des villes intelligentes, des données personnelles dans la ville, adoptant l’angle des politiques publiques associé aux données personnelles. Nous avons analysé que les acteurs publics se retrouvaient court-circuités par les acteurs privés (pensez à Waze). Nous avions publié dès 2017 un article sur Toronto et avions anticipé les problèmes liés à la gouvernance des données, tout en proposant des systèmes de partage de la donnée, pour rebattre le rapport de force en faveur de l’intérêt général. Nous avions cherché à produire une grille d’analyse reproductible dans d’autres domaines : le résultat fut une matrice 4 entrées, qui fut par la suite reprise peu de temps après dans des discussions sur le partage des données. 

 C’est l’intéret de notre action: les acteurs qui se posent des réflexions de politiques publiques en aval reprennent nos réflexions, car nous prônons le respect de la protection des données personnelles. 

 Des exemples d’expérimentations ? 

 Cookieviz, un des premiers projets d’expérimentation permet de voir en temps réel les cookies de suivis. Cet outil de médiation a eu du succès. Depuis nous avons développé avec nos moyens de nombreux projets, offerts sous licence ouverte. Qu’importe si l’outil n’est pas parfait, l’objectif est de faire avancer les sujets. 

 En janvier 2019, nous avons rajouté un volet design à la CNIL, historiquement plutôt axé sur les aspects juridiques, puis juridiques et technologiques. La volonté de créer des interfaces entre le juridique et le design est motivée par une grandissante économie de l’attention. Émergent les questions : comment les mécanismes de captation impactent-ils la transparence et la protection des données ? Comment pouvons-nous améliorer la transparence et l’encapacitationpar le design ? Du point de vue de la réglementation de la CNIL, si un design est trompeur et fait en sorte que les usagers acceptent sans s’en rendre compte le partage de leurs données : cela pourrait suffire pour le considérer non conforme au RGPD. Pour avancer sur ces sujets, nous expérimentons et essayons de créer une communauté de designers pour encourager ce type de travaux sur la plateforme design.cnil.fr 

Qu’est-ce que [Nos vies numériques en 2030] — Appel à « fragments de futurs » ? 

Dans nos travaux de prospective, nous avons recours au design fiction. Pour notre prochain « Cahier IP », nous explorons le rapport quotidien à la vie privée. Un des questions et hypothèses de départ était « la vie privée est-elle un sport de riche ? ». Et même quand on est doté financièrement et éduqué, c’est déjà compliqué. Qu’en est-il pour les personnes moins dotées ? Quelle est leur perception de ces sujets ?


Avec l’Université de la pluralité », nous avons mis en place cet appel à « fragments de futur », qui a vocation à explorer des imaginaires issus de la fictio, de l’écrit, de l’image… de ce que pourrait être la vie en 2030 concernant la protection des données. Nous souhaitons que ces visions des possibilités futures soient représentatives non pas de ce que sera l’avenir (nous ne sommes pas dans la prédiction), mais des imaginaires pluriels qui recouvrent différents aspects (par exemple : monde rural/monde urbain). Ces fragments serviront de matière pour les design fiction qui seront réalisées dans des ateliers : l’objectif est de susciter la réflexion, de dépasser notre quotidien présent  et d’aller plus loin pour être véritablement créatif. 

Propos recueillis par Lauriane Gorce, Directrice scientifique de l’Institut de la technologie pour l’humain - Montréal