5_donneesPersoTerreau
π Digital π Société
Le développement du numérique : aux dépens de l’humain ?

Pourquoi convoite-t-on nos données personnelles ?

Le 8 juin 2021 |
5 mins de lecture
Marie-Laure Denis
Marie-Laure Denis
conseillère d'État et présidente de la CNIL
En bref
  • Les données personnelles – qui englobent toutes les informations permettant d’identifier une personne, de sa localisation à ses empreintes biométriques – sont particulièrement recherchées par les entreprises, en ce qu’elles permettent un meilleur ciblage publicitaire.
  • La CNIL (Commission nationale de l'informatique et des libertés) a pour mission de protéger les données personnelles des citoyens français, notamment en faisant appliquer le RGPD européen.
  • Marie-Laure Denis, présidente de la CNIL, revient ainsi sur les nombreuses évolutions du cadre règlementaire européen survenues en 2020, qui ont permis d’améliorer la protection des données dans les États membres de l’UE.
  • Elle explique également en quoi les données personnelles peuvent également être essentielles pour conduire des politiques publiques efficaces – notamment dans le cadre de la crise sanitaire.

Le Règle­ment européen sur la pro­tec­tion des don­nées (RGPD) a fêté ses trois ans le 25 mai 2021. Après une année 2020 durant laque­lle les out­ils numériques ont été mas­sive­ment déployés en rai­son de la pandémie de Covid-19, ce nou­v­el anniver­saire éclaire d’une manière plus vive les enjeux liés à la pro­tec­tion de la vie privée et à la sou­veraineté numérique européenne. Il est l’occasion, pour la CNIL (Com­mis­sion nationale de l’in­for­ma­tique et des lib­ertés), de rap­pel­er en quoi con­siste ce cadre règle­men­taire, ce qu’il vient pro­téger et ce qui est exacte­ment « convoité ».

Le pét­role du XXIème siècle

Qu’est-ce, tout d’abord, qu’une « don­née per­son­nelle » ? Il ne s’agit pas de don­nées comme les autres, car elles ren­voient à des infor­ma­tions per­me­t­tant d’identifier une per­son­ne, comme son nom, un numéro qui lui est asso­cié, ou ses empreintes dig­i­tales. Il est sou­vent dit que les don­nées per­son­nelles sont le pét­role du XXIème siè­cle, mais la notion de « ter­reau » sem­ble plus per­ti­nente, tant elles ne valent que par l’utilisation qui en est faite. 

Un exem­ple clas­sique est celui des traces lais­sées en ligne par les inter­nautes, recueil­lies lors de leur nav­i­ga­tion par des cook­ies ou de leur usage d’objets con­nec­tés. La con­nais­sance pré­cise de nom­breux détails – tels que l’âge, la local­i­sa­tion, les goûts, les com­porte­ments d’achats, l’état de san­té ou même les préférences idéologiques de leurs poten­tiels con­som­ma­teurs – est très pré­cieuse pour les entre­pris­es, qui peu­vent ain­si mieux seg­menter leur marché. En quelques années, les don­nées per­son­nelles sont dev­enues des act­ifs financiers stratégiques, qui sus­ci­tent en par­ti­c­uli­er l’appétit des GAFAM, comme en témoigne le bond spec­tac­u­laire de leur chiffre d’affaires du pre­mier trimestre 2021 : 23,6 mil­liards de dol­lars de béné­fices nets pour Apple con­tre 11,2 à la même péri­ode l’année dernière ; 17,93 mil­liards pour Alpha­bet, la mai­son-mère de Google, con­tre 6,8 en 2020 ; 9,5 mil­liards con­tre 4,9 l’année passée pour Facebook. 

Un out­il pour amélior­er les poli­tiques publiques et la ges­tion de crise

Cepen­dant, et loin de ne servir que des intérêts com­mer­ci­aux, les don­nées per­son­nelles se révè­lent égale­ment très utiles pour con­duire des poli­tiques publiques effi­caces, tout spé­ciale­ment en cette péri­ode de crise. Par exem­ple, dès le lance­ment de la cam­pagne de vac­ci­na­tion con­tre le Covid-19, les Agences régionales de san­té ont dis­posé d’informations pour suiv­re quo­ti­di­en­nement l’avancée de la cou­ver­ture ter­ri­to­ri­ale. Ain­si, depuis jan­vi­er, le sys­tème d’information Vac­cin Covid, dévelop­pé par l’Assurance mal­adie, assure au niveau nation­al la traça­bil­ité des vac­cins et des étapes de la vac­ci­na­tion, de la pré-con­sul­ta­tion aux injections. 

L’accès aux don­nées est donc un véri­ta­ble enjeu pour l’Union européenne, qui, con­sciente de sa dépen­dance aux sys­tèmes étrangers, a fait de leur maîtrise le pili­er de sa stratégie de sou­veraineté numérique. Plusieurs événe­ments majeurs ont mar­qué l’année 2020 en ce sens : l’arrêt Schrems II, ren­du par la Cour de jus­tice européenne en juil­let dernier, qui a invalidé le Pri­va­cy Shield per­me­t­tant le trans­fert des don­nées vers les États-Unis ; l’engagement de trans­fér­er dans un délai de deux ans l’hébergement du Health Data Hub vers une solu­tion tech­nique per­me­t­tant de ne pas expos­er ces don­nées sen­si­bles à d’éventuelles deman­des d’accès illé­gales au regard du RGPD ; enfin, le Dig­i­tal Gov­er­nance Act, le Dig­i­tal Ser­vices Act, le Dig­i­tal Mar­kets Act, et bien­tôt le Data Act (des ini­tia­tives lég­isla­tives portées par Thier­ry Bre­ton), visent à actu­alis­er le socle juridique de notre future économie européenne de la donnée.

Pro­téger les don­nées de la cybercriminalité

Enfin, sans sur­prise, l’accès aux don­nées est source de con­voitise pour les cyber­crim­inels. En un an de con­fine­ment, l’ANSSI (Agence nationale de la sécu­rité des sys­tèmes d’in­for­ma­tion) a vu le nom­bre d’attaques quadru­pler. Si les don­nées ban­caires et de san­té sont clas­sique­ment visées, toute don­née peut aujourd’hui être ciblée, soit à des fins de nui­sance gra­tu­ite, soit à des fins de chan­tage. La CNIL, quant à elle, a reçu, dans le cadre du RGPD, près de 3 000 noti­fi­ca­tions de vio­la­tions de don­nées de la part des entre­pris­es en 2020, con­tre 2 300 en 2019. 

Le rôle du RGPD et de la CNIL dans la pro­tec­tion des données

Quels sont, juste­ment, le rôle du RGPD et de la CNIL dans ce con­texte ? Le RGPD s’inscrit dans la con­ti­nu­ité des valeurs human­istes de l’Union européenne et encadre le traite­ment des don­nées per­son­nelles sur son ter­ri­toire, en met­tant les droits des citoyens au cœur de la régu­la­tion. Il har­monise aus­si les oblig­a­tions demandées aux pro­fes­sion­nels et leur per­met de dévelop­per leurs activ­ités numériques en se fon­dant sur la con­fi­ance de leurs util­isa­teurs. De cette manière, il est égale­ment un instru­ment de cyber­sécu­rité, indis­so­cia­ble de la pro­tec­tion des données. 

En tant que régu­la­teur, la CNIL exerce qua­tre mis­sions : elle informe les per­son­nes de leurs droits, elle accom­pa­gne les organ­ismes dans leur mise en con­for­mité, puis en con­trepar­tie les con­trôle, voire les sanc­tionne, et elle exerce un rôle de veille qui lui per­met de dia­loguer avec les écosys­tèmes d’innovation du numérique, des chercheurs aux startups. 

Un pre­mier cas pra­tique pou­vant illus­tr­er cette action est celui de la pub­lic­ité en ligne, secteur clé de mise en con­for­mité depuis 2018, avec plus de 20 % des plaintes annuelles liées au mar­ket­ing. Sans atten­dre l’adoption du règle­ment ePri­va­cy [qui pro­tège les com­mu­ni­ca­tions privées des citoyens européens de toute ingérence], la CNIL a adop­té une démarche de régu­la­tion prag­ma­tique en plusieurs étapes, en con­cer­ta­tion avec les acteurs con­cernés. Deux règles fon­da­men­tales en matière de dépôt de cook­ies en résul­tent : la clarté de l’information et l’égale facil­ité de les accepter ou les refuser.

Un autre champ pri­or­i­taire déjà évo­qué est la cyber­sécu­rité. La CNIL, en com­plé­ment de l’action d’autres acteurs comme l’ANSSI, accom­pa­gne au quo­ti­di­en les entre­pris­es dans leur bonne hygiène infor­ma­tique qui, out­re son car­ac­tère oblig­a­toire, est dev­enue un con­sid­érable atout stratégique. Elle met ain­si à dis­po­si­tion sur son site de nom­breuses ressources péd­a­gogiques, comme des bonnes pra­tiques en matière de télé­tra­vail à des­ti­na­tion des par­ti­c­uliers et des pro­fes­sion­nels, afin de déploy­er une cul­ture numérique commune. 

Dernier exem­ple, celui de l’intelligence arti­fi­cielle. La CNIL est très active dans ce domaine, tant sur les plans juridique et infor­ma­tique que de manière prospec­tive et éthique. Elle organ­ise annuelle­ment l’événement « air, Avenirs, Inno­va­tions, Révo­lu­tions », pour réfléchir aux ques­tions de société soulevées par les nou­velles tech­nolo­gies, dont le rap­port IA et algo­rithmes : per­me­t­tre à l’homme de garder la main a découlé. Celui-ci met­tait en évi­dence le panora­ma des ques­tions soulevées par l’intelligence arti­fi­cielle et pro­po­sait un cer­tain nom­bre de recom­man­da­tions, dont les principes de loy­auté et de vig­i­lance, qui s’inscrivent dans une nou­velle généra­tion de garanties et de droits fon­da­men­taux à l’ère numérique. La CNIL a égale­ment pub­lié une con­tri­bu­tion de méth­ode au débat com­plexe de la recon­nais­sance faciale, en plus de ses cahiers Inno­va­tion & Prospec­tive réguliers et de sa nou­velle col­lec­tion de livres blancs, dont le pre­mier traitait des assis­tants vocaux. 

En tout état de cause, le développe­ment du numérique a pro­fondé­ment mod­i­fié notre économie, mais aus­si notre l’organisation de nos sociétés et insti­tu­tions poli­tiques. Inter­net n’étant pas un lieu mais un lien, par lequel s’effectuent d’innombrables traite­ments et trans­ferts inter­na­tionaux de don­nées, c’est finale­ment la capac­ité des États à faire respecter leurs règles et leurs droits qui est en jeu. Face à ce défi, la CNIL a voca­tion à con­tribuer à une stratégie glob­ale d’affirmation d’une sou­veraineté numérique au niveau nation­al et, plus encore, au niveau européen.

Découvrez les autres épisodes de ce dossier