Blog : Faire table rase, avant les grandes manœuvres

L’été, j’aime profiter de la pression qui retombe pour réfléchir, me poser, ranger. De grandes manœuvres, en quelques sortes qui parfois aboutissent à des décisions radicales, comme faire table rase du passé. Je range, je trie, je rationalise, je n’éparpille pas façon puzzle. Maintenant que je n’ai plus qu’un seul blog à gérer, plus son… Lire la suite Blog : Faire table rase, avant les grandes manœuvres

Teemo, Fidzup : la CNIL interdit la géolocalisation sauvage - l'UE pense à la légaliser

20 juillet 2018 - Hier, la CNIL a déclaré illicites les activités de deux start-ups françaises, Teemo et Fidzup, qui géolocalisent des millions de personnes à des fins publicitaires et sans leur consentement. Elles ont trois mois pour cesser ces activités. Hélas, sur le long terme, leur modèle pourrait devenir licite : c'est en tout cas ce sur quoi l'Union européenne débat via un futur règlement ePrivacy.

Teemo

Teemo est l'emblème des start-ups qui n'existent pas pour durer, mais pour amasser un maximum de profits par une activité qui, depuis le début, est illicite. En mode « take the money and run ». Employant 35 salariés pour un chiffre d'affaires de 2,6 millions (en 2016), Teemo ne pourra pas survivre à la décision rendue hier par la CNIL.

Teemo analyse les données de géolocalisation de 14 millions de téléphones, obtenues via les applications mobiles de ses partenaires commerciaux, afin de faire de la publicité ciblée localement. Évidemment, les personnes surveillées ne sont pas informées de ce pistage et n'ont pas leur mot à dire. La CNIL exige aujourd'hui le consentement de ces personnes - ce que la loi « informatique et libertés » impose sans ambiguïté.

Teemo peut donc fermer boutique, puisque son chiffre d'affaires repose désormais sur l'espoir absurde que des utilisateurs renoncent à leur vie privée, sans contrepartie, mais simplement pour enrichir la start-up.

Bien. Mais que dire de ses nombreux partenaires qui ont financé et bénéficié de ce système de surveillance généralisée ? Sur le site de Teemo, on peut lire les témoignages de LeaderPrice, ToysRus, InterSport ou Volkswagen se réjouissant qu'une telle violation massive de nos libertés ait pu faciliter leurs activités publicitaires. Plus loin, parmi les entreprises qui ont « fait confiance » à Teemo (sans avoir consulté aucun juriste, on imagine), on retrouve encore Carrefour, Macdo, Decathlon ou la Fnac.

Par ailleurs, il y a un an, Numérama publiait une enquête sur Teemo qui, probablement, a conduit la CNIL à se saisir de l'affaire. L'enquête expliquait que Teemo s'était notamment infiltrée sur les applications mobiles du Figaro, du Parisien, de l'Équipe ou de Closer, avec l'accord de ceux-ci.

Depuis, Exodus Privacy a décrit précisément le fonctionnement de Teemo et les applications l'intégrant.

Aujourd'hui, l'ensemble de ces entreprises nous doivent de sérieuses explications : comment ont-elles pu se permettre de financer et d'autoriser une violation aussi manifeste de la loi au détriment des libertés fondamentales de leurs clients ? Leur responsabilité juridique et politique est en jeu.

Fidzup

Le cas de Fidzup est plus complexe.

La start-up, plus petite (24 salariés, 500 000€ de chiffre d'affaires), opère en deux étapes. Dans une première étape, elle installe des bouts de code sur les applications mobiles de ses partenaires commerciaux. La CNIL décompte neuf applications différentes, qui lui auraient permis d'infiltrer 6 millions de téléphones. Ces bouts de code permettent à Fidzup de collecter certaines données techniques sur les téléphones espionnés. Dans une seconde étape, Fidzup fournit à une centaine de magasins des boîtiers qui identifient les téléphones qui passent à proximité, à partir des données techniques collectées dans la première étape. Les magasins peuvent donc tracer leurs clients, tant en ligne que hors-ligne.

Cette seconde étape est particulièrement pernicieuse. Techniquement, nos téléphones émettent régulièrement des données techniques afin de se connecter aux bornes WiFi environnantes. Les boîtiers fournis par Fidzup interceptent ces données techniques pour identifier les téléphones, alors même qu'ils ne sont pas du tout des bornes WiFi.

Exodus Privacy décrit en détail le fonctionnement et les applications mobiles collaborant avec Fidzup.

Heureusement, en droit, cette technique d'interception est explicitement interdite. La directive 2002/58 de l'Union européenne, dite « ePrivacy », prévoit depuis 2002 à son article 5 qu'il est interdit « à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés ». Les données captées par Fidzup sont ici des « données relatives au trafic », car destinées à réaliser une connexion avec une borne WiFi.

Reprenant assez facilement cette logique, la CNIL a exigé que Fidzup demande le consentement préalable des personnes avant de collecter ces données - ce qui n'était pas le cas.

On pourrait ici donner la même conclusion que pour Teemo : aucun utilisateur n'acceptera de céder sa vie privée, sans contrepartie, pour enrichir Fidzup. L'avenir de la start-up semblerait donc aussi compromis.

Hélas, la situation est plus inquiétante.

ePrivacy

La directive ePrivacy, qui interdit aujourd'hui l'activité de Fidzup, est en cours de révision par l'Union européenne.

Il y a un an, le Parlement européen arrêtait sa position sur le texte (relire notre bilan sur ce débat). À l'article 8, §2, du nouveau texte, le Parlement a autorisé la collecte sans consentement des « informations émises par les terminaux des utilisateurs » - abandonnant ainsi une protection fondamentale qui nous est aujourd'hui offerte.

Le Parlement autorise cette surveillance en imposant une poignée de conditions aussi vagues que creuses : l'analyse doit être limitée à des fins de « comptage statistique » (c'est déjà le service que fournit Fidzup), les données doivent être anonymisées dès que la finalité est remplie (dès que Fidzup a fini de nous compter), les utilisateurs disposent d'un droit d'opposition (qui leur est indiqué par une affiche plus ou moins visible dans le magasin surveillé - ce que fait déjà Fidzup).

Aujourd'hui, la réforme de la directive ePrivacy est débattue entre les États membres de l'Union. Peu d'États membres semblent vouloir contrer les dérives du Parlement en matière de géolocalisation.

D'une main, l'Union européenne prétend nous offrir une protection importante avec le règlement général sur la protection des données (RGPD). D'une autre main, elle réduit la protection de nos libertés afin de sauver quelques start-ups illicites et néfastes (inutiles).

Si les débats sur le règlement ePrivacy se confirmaient comme allant dans ce sens, il faudra s'opposer à toute idée de réformer le droit actuel - qui, couplé au RGPD, nous protège encore aujourd'hui des volontés de surveillance de sociétés telles que Teemo ou Fidzup et de leurs partenaires.

A bientôt !

L’internet aussi prend parfois des vacances. Toutes les équipes d’InternetActu et de la Fing vous souhaitent une bonne déconnexion estivale. Vous allez pouvoir redécouvrir les vertus d’une activité normale, sans trop de technologies.

Webcafé Ubuntu: Ambiance Bombay !

Le Webcafé Ubuntu-fr est présent au festival des Vieilles Charrues 2018 ! Le thème du festival cette année, c’est Bollywood !

L’entrée du festival

Un des programmes de cette année c’est bien évidemment l’animation tattoos, avec le logo Ubuntu (« Circle of Friend ») et le logo Linux (« Tux », le manchot)

Pose de tattoos
Pose de tattoos

Et après avoir mit son tattoo, on peut même se voir au travers des webcam du stand, sur les postes qui fonctionnent sur Ubuntu, se prendre en photo, et même la partager sur internet si on le souhaite.

Cheese ! On prend des photos !
Cheese ! On prend des photos !

Il y a beaucoup à présenter alors on se retrouvera dans un prochain billet ce week-end, en attendant, on continue de vous accueillir au Webcafé Ubuntu !

Les bénévoles sont des être-humains qui ont eux aussi besoin de se posay
Les bénévoles sont des êtres humains qui ont eux aussi besoin de se posay, tahu

Comment reprendre le contrôle de notre vie numérique - Tariq Krim


Tariq Krim

Titre : Comment reprendre le contrôle de notre vie numérique
Intervenants : Tariq Krim - Guillaume Grallet
Lieu : Paris - Le Point
Date : mai 2018
Durée : 34 min 19
Visionner la vidéo ici ou ici
Licence de la transcription : Verbatim
Illustration : Tariq Krim 2015 Wikimedia Commons, licence Creative Commons Attribution-Share Alike 4.0 International
NB : transcription réalisée par nos soins. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas forcément celles de l'April.

Transcription

Guillaume Grallet : On a la chance d’avoir avec nous, au Point cet après midi, Tariq Krim. Tariq, beaucoup de gens le connaissent parce que, Tariq, tu as créé pas mal d’entreprises sur Internet : tu as créé Netvibes, Jolicloud, tu as été vice-président du Conseil national du numérique et tu reviens aujourd’hui avec un nouveau projet Dissident.ai. On va bien sûr en parler. On t’a invité Tariq également pour commenter, pour réagir à une interview que tu as donnée dans Le Point dans Le Postillon : « Il faut limiter certaines technologies avant qu’il ne soit trop tard » et qui a suscité pas mal de réactions en ligne ; ça a été twitté, retwitté, tu as eu des réactions des politiques aussi, tu pourras peut-être nous en parler.

En fait je voulais pour une première question te faire réagir à cette phrase que j’aime beaucoup parce que je crois qu’un des buts de Dissident c’est de reprendre le contrôle sur notre vie numérique, et tu dis dans l’interview : « Nous entretenons une relation symbiotique avec nos applications. Nous avons autant besoin d’elles qu’elles ont besoin de nos données. »

Tariq Krim : Avant tout bon jour et puis merci de me recevoir dans cette maison. Effectivement, c’est un article que j’ai mis du temps à écrire ; c’est un sujet auquel je réfléchis depuis des années. Quand j’étais beaucoup plus jeune, au début des années 90 et du Web, on pensait que la technologie allait être quelque chose de fantastique, ça allait changer le monde en bien, on ne se posait pas du tout la question de savoir s’il y avait des défauts, s’il y avait des choses qui allaient être négatives qui allaient apparaître. Et puis, depuis quelques années, en fait depuis l’apparition notamment des téléphones, je pense qu’on commence à voir que les choses — enfin on l’a vu avec l’élection de Trump, avec le Brexit, avec ce qui s’est passé en Birmanie —, que la technologie sans contrôle a des conséquences inattendues et pas celles qu’on imaginait.

Alors l’idée de cette relation symbiotique c’est qu’en fait, c’est très drôle. C’est qu’il y a maintenant dix ans, quand Steve Jobs a finalement inventé l’iPhone, au départ il n’avait pas du tout la même vision que celle qui a été mise en œuvre ; il voulait faire un truc très simple, très fermé et ensuite, un an plus tard il a changé d’avis, il a décidé de faire l’App Store et donc de permettre à n’importe qui d’avoir une application sur le téléphone.

Alors c’est le problème des plateformes, c’est le cas aussi avec Facebook. À l’époque, quand j’étais à Netvibes, j’ai eu la chance d’être un des tout premiers à avoir un iPhone et puis, la deuxième chose que j’ai faite en ouvrant la boîte, c’est comment on fait pour être sur ce truc. Et c’est la question que tout le monde s’est posée.
Le problème c’est qu’il y a dix applications par écran et avoir un peu d’espace, de surface sur ce téléphone ça devient, à un moment donné, si cet outil devient un outil qu’on utilise tous les jours, une question de vie ou de mort. Tout le monde a voulu avoir son App ; tout le monde a fait tout ce qu’il pouvait pour exister sur l’iPhone et ensuite, un an plus tard sur Android. Le problème c’est qu’effectivement, soit on a une application qui est essentielle, qui fait partie de la vie : les SMS, les notes, le browser, la musique ; mais curieusement, en fait, toutes ces applications étaient au départ développées par Apple donc il a fallu que d’autres sociétés comme Facebook, comme Twitter, comme Foursquare, comme Google, essayent d’être présentes sur le téléphone à tout prix.

Et une des raisons pour, en fait, créer cette sorte d’attention sur le téléphone, ça a été de s’assurer que, finalement, les gens seraient hooked comme on dit aux États-unis, complètement pluggés sur son application du matin au soir. Donc quand on n’utilise pas une application, l’usage descend — on peut avoir, on a tous des dizaines d’applications sur son téléphone qu’on n’utilise plus du tout — et un des moyens de se rappeler à nous ce sont les notifications, c’est d’être présent en permanence et de dire « j’existe ! Il faut absolument que vous utilisiez mon application ». Et c’est là qu’on s’est retrouvés il y a quelques années, on se rappelle tous, à chaque fois qu’on était dans un dîner on avait des dizaines de notifications qui ne servent à rien, mais c’était une des méthodes utilisées par les applications pour exister.

Avec le temps, ce qu’il faut savoir c’est évidemment que tous les gens qui ont développé, Instagram, Facebook, viennent tous de la même école à Standford, Persuasive Design [The Stanford Persuasive Technology Lab] ; en fait l’idée c’est d’apprendre à construire des expériences addictives. Et on peut comprendre pourquoi puisque, finalement, je suis à table, j’ai une notification, je prends mon téléphone, « ah Instagram ; je vais aller sur Instagram », je vais passer une, deux, trois, quatre, « ah une pub ».
Donc en fait, juste avec un simple geste, le simple fait d’avoir lu mon téléphone génère de l’argent pour Facebook de manière passive et ce qui est toujours le cas c’est qu’on se dit « tiens je vais regarder un petit peu » et puis en fait on continue, on continue, on continue et puis, à un moment donné, on se dit « mince ! je viens de passer cinq minutes, j’ai perdu cinq minutes. » Toutes les applications ont été pensées pour ça parce qu’elles doivent exister et elles ne peuvent pas être enlevées du téléphone. Donc pour être sûr que vous ne les enlèvez pas, on vous rend addict.

Guillaume Grallet : Oui. Tout à l’heure tu citais Hooked, c’est le titre d’ailleurs d’un bouquin, d’un livre de Nir Eyal et qui montre bien à quel point le processus d’efforts et de récompenses fait qu’on revient souvent aux applications. Est-ce que tu pourrais nous parler également du temps qu’on passe aux applications et comment reprendre le contrôle du temps ?

Tariq Krim : Un des problèmes de « l’éthique » entre guillemets, c’est qu’effectivement les applications ont été pensées soit par rapport à un tiers, donc publicité ; à chaque fois qu’on prend son téléphone on doit voir, à un moment donné, de la publicité de manière passive, de manière active, mais c’est important parce que c’est un compteur et donc c’est ce qui fait les revenus incroyables soit de Facebook et également de Google ; mais ce qui est intéressant avec Facebook c’est, qu’en fait, on fait de l’argent simplement en déplaçant le pouce, alors que pour Google il faut faire une recherche, cliquer sur la publicité. Facebook et Instagram, on construit une version encore plus simple pour générer de l’argent.
Donc l’un des problèmes que l’on a c’est effectivement que les applications ne sont pas pensées par rapport à nous, elles sont pensées soit par rapport à des tiers, soit dans des logiques de temps, puisque aujourd’hui, une des mesures du succès d’une application c’est le temps passé ; un peu comme la télévision, finalement, c’est exactement le même modèle. Donc on essaie de gagner des secondes par ci, des secondes par là et effectivement ça a un impact, ça nourrit, parce que le temps est la seule chose non-compressible de nos vies.
Mais surtout on essaye, comment dire, de tromper l’utilisateur avec des petites astuces en permanence donc soit des notifications vraiment spécifiques, soit en manipulant les émotions. Il y a une photo de quelqu’un qu’on aime bien, qu’on n’a pas vu depuis des années, hop elle va réapparaître à un moment opportun ; c’est super ! Qu’est ce qui s’est passé ? Là tout de suite on se sent un peu [Tariq mime de la main le cœur qui bat]… Et donc ça crée ce désir et ça crée une addiction. C’est un peu le modèle des machines à sous : quand on arrive dans une salle avec des machines à sous, la règle c’est qu’on entende toujours les pièces tomber parce que ça veut dire que, quelque part, c’est un peu l’argent que vous auriez pu gagner qui est en train de tomber donc il faut absolument aller… Et c’est la même chose : à chaque fois qu’on prend son téléphone on a l’impression qu’on a raté quelque chose ou qu’il y a un truc qui est en train de se passer. Enfin c’est quand même très retors !

Guillaume Grallet : C’est très difficile de couper quoi, de se déconnecter. Alors juste avant de parler de Dissident qui est quand même une nouvelle proposition et puis on parlera aussi du souci que tu as de l’utilisateur, je trouve ça très intéressant, il y a un autre combat, quelque chose qui te tient à cœur, c’est de mettre en avant les développeurs français, des développeurs qui sont souvent derrière des applications très connues, mais on ne le sait pas toujours très bien, ils pourraient avoir encore davantage de succès. D’ailleurs, pour la version en ligne de cet article, de cette interview, on a renvoyé vers un rapport que tu avais présenté il y a quelques années1 où tu mettais en avant les développeurs français. Au Point on avait fait une enquête, c’est Marie Bordet qui avait signé des portraits de développeurs. Pourquoi c’est important de mettre en avant les développeurs français ?

Tariq Krim : Je pense qu’en fait c’est très drôle, quand on parle de la France à l’étranger, quand on parle cinéma, on faisait une version française de cinéma, c’est Truffaut, la nouvelle vague ; pareil dans la gastronomie ; pareil dans le luxe ; pareil dans la musique ; pareil dans quasiment tout et dans la technologie, en fait, on a l’impression qu’il n’y a pas d’école française, que finalement — les mauvaises langues diraient on copie beaucoup ce que font les États-unis — on n’invente rien. Alors qu’en fait c’est totalement faux, on a une véritable expertise. Les gens qui travaillent, quand ils sont en France, c’est drôle, ils sont dans des écoles, on n’en entend pas parler, puis ensuite ils travaillent chez Google, ils ont cofondé Android, l’iPhone, Linkedin, Amazon, Google Cloud, etc.

Guillaume Grallet : Tu parles par exemple de Jean-Marie Hullot qui est derrière l’iPhone ?

Tariq Krim : Qui a été, à priori, d’après ce qu’on sait, initié à Paris avant que le projet reparte en Californie. Donc on a toujours eu une bonne école de développeurs, des gens extrêmement bons, mais on n’a jamais su, en fait, valoriser ce talent alors qu’on le fait dans d’autres domaines avec les chefs, avec les designers ; et c’est vraiment dommage parce qu’on a absolument toutes les ressources, toutes les expertises, pour développer une école française, pour développer une proposition de valeur.
Pour moi, la technologie aujourd’hui est politique ; il y a le modèle américain, il y a le modèle chinois, ce sont des modèles qui sont totalement différents dans leur vision et aujourd’hui, entre les deux, il y a l’Europe qui ne sait pas trop sur quel pied danser et la seule manière d’exister — c’est pour ça que j’ai toujours fait, d’ailleurs, des produits qu’on appelle consumers donc du grand public — c’est que le consumer c’est aussi une vision politique. Soit on développe des outils pour émanciper les gens, soit on développe des outils pour les emprisonner dans des bulles, ce qui a été le cas un peu avec Facebook pendant l’élection et avec le Brexit et avec toutes les élections, on s’est rendu compte que les gens n’avaient aucune capacité d’analyse, c’est-à-dire que leur vision du monde était basée sur des informations totalement fausses, alors qu’à côté il y a des choses comme Wikipédia, enfin il y a tout un ensemble d’éléments qui leur auraient permis de pouvoir changer leurs opinions mais comme les outils sont faits pour nous mettre un peu dans des tunnels !
C’est totalement différent, d’ailleurs, de la vision française, on adore le débat contradictoire, on n’est jamais d’accord sur plein de choses, mais on n’a jamais eu de logiciels — même quand tu regardes les choses comme Dailymotion — où on a appris à consolider ce débat. Et c’est dommage parce qu’on a largement les moyens de développer ces produits, il faut les soutenir et je pense que c’est vraiment, au-delà d’une question technique et de savoir-faire ou de VC [Venture Capital] ou financement, c’est une vision politique ! C’est-à-dire que si la France n’émerge pas dans le numérique et n’invente pas sa vision du monde, ça veut dire qu’on utilise la vision des mondes d’autres gens et si on se plaint on n’a qu’à nous… C’est vraiment un sujet important.

Guillaume Grallet : Un autre Français talentueux, il y a eu Yoshua Bengio par exemple, qui est un des Français, un des pères de l’intelligence artificielle, qui est l’idole de Yann LeCun qui, lui-même, est le responsable chez Facebook de l’intelligence artificielle ; mais tu en avais cité d’autres, des développeurs qui sont derrière des innovations intéressantes. Peut-être tu peux en redire un petit mot et puis surtout, comment on pourrait davantage les mettre en avant, comme on pourrait structurer davantage la Tech française ? Je sais que c’est que c’est difficile, mais tu as sans doute des idées là-dessus.

Tariq Krim : En fait je dis toujours que c’est compliqué parce que, à la fois, les différentes sociétés que j’ai faites on s’est toujours retrouvés en frontal avec Google et à chaque fois l’État a choisi des acteurs US. C’était le cas avec le précédent gouvernement où, en fait, au moment où on faisait Jolicloud , on faisait une plateforme — j’avais monté une équipe top-notch, vraiment la meilleure équipe possible pour faire ça — et ensuite, on découvre à la télé que le gouvernement, finalement, va travailler avec Microsoft. On en apprend beaucoup. Il a y, si tu veux, cette forme de manque de confiance ; on a un complexe d’infériorité et c’est vrai que sur les questions maintenant d’intelligence artificielle qui deviennent essentielles parce qu’elles vont à la fois simplifier le monde dans lequel on est mais aussi le réorganiser d’une certaine manière et donc c’est très important de comprendre comment ça peut se faire. En France on a un des piliers, je pense, dans le développement informatique, c’est notre héritage jacobin, c’est l’État et l’État devrait montrer l’exemple dans sa façon de développer, dans sa façon d’inventer le futur ; et aujourd’hui, chaque fois qu’on voit des articles que tu as écrits ou que d’autres ont écrits, c’est le projet Quaero, le projet Louvois, enfin toutes ces catastrophes, ces désastres où, en fait, on considère que la technologie c’est : on fait un cahier des charges énorme ; on passe la patate chaude à une société, une SS2I. Donc on a l’impression que la technologie est le dernier des éléments alors qu’en fait c’est le cœur du sujet. Il faudrait que ces développeurs soient dans les ministères, conseillent à la fois le président ; le fameux CTO qui, malheureusement, n’existe plus.

Guillaume Grallet : Tu peux en dire un mot parce que je crois qu’il y a des exemples réussis de CTO et ce que ça veut dire ?

Tariq Krim : Aux États-Unis, à l’époque pré-Trump, c’était effectivement très intéressant. Mais l'idée de CTO…

Guillaume Grallet : Chief Technology Officer.

Tariq Krim : Chief Technology Officer qu’il y a dans quasiment toutes les entreprises : la personne qui est responsable de la vision stratégique. Par exemple, quand le président veut faire une manœuvre militaire ou aller en guerre quelque part, il a son chef d’État-Major. Son chef d’État-Major connaît parfaitement les rouages de l’armée, connaît tous les généraux ; tu n’as pas le président de la République qui va appeler un général dans une base en Corse ou dans le Sud de la France et dire « voilà je voudrais aller »… Non ! Il demande à son chef d’État-Major qui va appeler tout le monde, qui va réfléchir à une stratégie et qui va la proposer ; et ensuite le politique qui, en général, ne connaît d’ailleurs rien aux affaires militaires, va suivre ou non.
Pour la technologie ça devrait être la même chose quand on a des projets : quels que soient les projets, réforme des retraites, questions liées au travail, à la réinvention de la Sécurité sociale, enfin tous les projets importants nécessitent une composante technologique. Donc si cette composante technologique n’est pas anticipée en amont et s’il n’y a pas quelqu’un qui est capable d’expliquer en des mots clairs, soit au président, soit au Premier ministre, « voilà les directions qu’il faut prendre ; si on ne prend pas ces directions eh bien on aura soit du retard, soit on ne pourra pas mettre les choses en œuvre » et cette personne, malheureusement, elle est diluée en trois-quatre personnes à des niveaux beaucoup plus bas et qui n’ont pas forcément l’oreille et surtout la vision globale stratégique. Ça je pense que c’est un vrai problème.

Guillaume Grallet : C’est un vrai problème. Alors il n’y a pas de fatalité dans la manière d’innover, en matière de politique d’innovation. On voit des conseils qui, espérons, inspireront peut-être des décideurs. Il n’y a pas non plus de fatalité dans la manière de consommer Internet, j’ai envie de dire, et tu popularises, tu expliques une notion de Slow Web. Est-ce que tu peux nous expliquer ? Tu dis dans l’interview que le Slow Web c’est l’équivalent du mouvement éco-gastronomique Slow Food pour la technologie ; c’est une alternative éthique de l’Internet. C’est quoi le Slow Web ?

Tariq Krim : En fait je voulais juste avant revenir un peu sur la question que tu posais et rappeler que derrière la question du CTO il y a aussi la question de la politique industrielle et puis le fait qu’aujourd’hui cette politique industrielle, dans le numérique en tout cas, est difficile à voir. Je n’arrive pas à voir où est-ce qu’on va et pourtant j’ai l’impression d’être au cœur du sujet.
Il y a aussi la question de ce complexe d’infériorité qui est liée aussi à des choses comme la nomination du patron de Cisco, qui est quelqu’un que, par ailleurs, j’admire parce que c’est un CTO incroyable, mais dire qu’on va prendre le patron d’une grande boîte américaine comme ambassadeur, c’est-à-dire représentant la France, alors qu’on a des dizaines de personnes qui auraient pu avoir ce rôle, ça te montre à quel point on a un complexe d’infériorité qui se traduit aussi dans l’acceptation de modèles qui ne sont pas forcément les modèles sur lesquels on travaille : le modèle de big data, d’analyse permanente qui est un peu le modèle des US aujourd’hui où constamment tu es analysé, constamment on va suivre ce que tu fais ; alors tu as maintenant le modèle chinois qui est un modèle où non seulement tu es analysé, mais, en plus, tes actions personnelles peuvent avoir un impact sur ta capacité à te déplacer.

Et le Slow Web, en fait, c’était l’idée de se dire qu’à un moment donné il doit forcément exister une façon différente d’utiliser la technologie, une façon qui est en phase avec notre cycle personnel. Par exemple il a cinq ans nos téléphones étaient toujours comme ça et les gens étaient en permanence… Ils te parlaient et puis, en fait, ils ne te regardaient plus, ils sont là [Tariq mime une personne rivée à son portable]… Maintenant, systématiquement, on met notre téléphone de côté ; c’est une façon de dire « j’ai du temps pour toi ».
C’est aussi l’idée, par exemple, qu’une application comme Netflix à deux heures du matin quand tu es en train de regarder des séries en Binge-watch, comme on dit, devrait avant de te dire « regarde l’épisode suivant », « il est deux heures du matin peut-être que vous devriez aller vous coucher parce que vous vous levez tôt demain et vous n’aurez pas assez de sommeil ».
C’est aussi l’idée que les applications ne jouent pas en permanence avec tes émotions en te disant « tiens ! si je te montre quelque chose qui va te faire du mal ou qui va te rendre triste ou qui va te rendre euphorique, je sais que, d’une certaine manière, je contrôle les quelques prochaines heures de ta vie parce que tu vas repenser à ce truc en disant « ah ouais, quand même ! » Alors qu’on pourrait être uniquement dans une logique d’assistance, être un compagnon numérique et non pas une sorte de domination.

Donc l’idée du Slow Web est très proche de celle de la nourriture parce que, finalement, la technologie comme la nourriture, ce sont des choses qu’on ingère tous les jours. Et ce qu’on ingère sur certaines plateformes n’est pas toujours très digeste et on se rend compte aujourd’hui que ça a des impacts sur la santé : par exemple aux États-unis la dépression chez les adolescents. Il y avait ce fameux article de The Atlantic de Jean Twenge2, c’est terrifiant ce qu’il te raconte sur le fait que les gamins ne veulent même plus sortir de chez eux ou, quand ils accompagnent leurs parents au centre commercial, ils sont derrière, scotchés sur leur téléphone. Tu as plein de choses qui ont l’air, pour des gens comme nous, qui ont l’air de n’être pas éthiques et pour l’instant le discours qu’on a, au-delà du I’m sorry, c’est qu’en fait on se rend compte que… Mary Meeker a fait sa fameuse présentation il y a deux jours : le nombre de téléphones qu’on vend est en train de tomber à zéro, il n’y a plus de croissance dans les téléphones ; le nombre d’heures qu’on passe par jour sur son téléphone est aussi arrivé, je crois, à 5 heures ou 6 heures donc on est arrivé à une limite – ça c’est en moyenne ; il y a des gens qui sont bien au-delà – et donc il va falloir commencer à consommer moins, consommer mieux et c’est cette idée, en fait.
L’idée aussi des Slow Web, comme le Slow Food, ce n’est pas uniquement comment tu consommes mais aussi comment tu penses tes applications, comment tu inventes quelque chose qui soit beaucoup plus naturel et qui soit beaucoup plus en relation, en phase avec ton propre cycle.

Aujourd’hui, je pense que la technologie nous rend fous parce qu’on n’arrive pas à s’arrêter et la raison pour laquelle on n’arrive pas à s’arrêter, c’est que ces applications ont été pensées by design, comme on dit, pour ne pas pouvoir les arrêter.

Guillaume Grallet : Très bien. En ce moment tu as un gros chantier donc c’est Dissident, je crois que vous êtes en train de le créer, ça pourrait ressembler à quoi Dissident dans quelques semaines, quelques mois, quelques années, le Dissident de tes rêves et qu’est-ce que l’utilisateur pourra faire ?

Tariq Krim : L’idée en fait de Dissident3, c’est on avait envie redevenir dissidents de ce monde qui est uniforme. Moi j’ai eu la chance, il y a des années, de travailler à Radio Nova avec Jean-François Bizot et j’ai découvert un monde de culture incroyable et je pensais, au départ, que l’Internet allait être un monde de culture incroyable. Et aujourd’hui, quand tu regardes, en fait on a restreint les catalogues : tu vas sur Netflix, Netflix ne te met en avant que ses propres productions parce qu’évidemment ça leur coûte moins cher. Spotify, maintenant, fait la même chose. Donc en fait on se retrouve, vingt ans après les débuts d’Internet, avec un Internet plus petit que ce qu’il était au début. Donc il y a cette première idée qui est de pouvoir redécouvrir toutes ces choses que les outils actuels ; ce n’est pas qu’ils nous empêchent de les découvrir c’est qu’ils mettent notre attention ailleurs. Donc cette idée de pouvoir souscrire à des dizaines de choses différentes, du monde entier, que ce soit dans la musique…

Aujourd’hui, si tu veux, ce que nous proposent Google ou Facebook : si tu n’as pas quelqu’un dans la journée qui te poste quelque chose d’intéressant, il n’y a rien d’intéressant sur ton Facebook. Donc tu es totalement, j’allais dire, lié à ce que ton écosystème fait. Or l’Internet c’est aussi un outil de recherche, de découverte.

Donc on a construit cette idée pour, à la fois, ses données personnelles donc pouvoir réorganiser sa vie, ses fichiers, quels qu’ils soient ; parce qu’aujourd’hui c’est une catastrophe, nos trucs sont dans 20 services différents et, au bout du compte, en fait, tu ne sais plus où est quoi. Et en fait, ils sont dans 20 services différents, pas parce que tu voulais que ce soit dans 20 services différents, mais c’est que tu as mis tes photos sur Flickr ; après Flickr a arrêté, a été racheté par Intel. Tu dis « bon ! mes photos sont là-bas ! » Tu as Google, tu as Dropbox, ensuite tu as Google Drive parce que tu as acheté un téléphone Android ; bon eh bien j’ai Google Drive. On t’a donné un tera sur machin parce que tu as acheté un Chromebook et puis tu as le boulot, tu as ça, tu as ci. Au bout du compte tu te rends compte que, finalement, ta vie est sens dessus dessous et que tu n’as aucun contrôle déjà sur ce que tu possèdes.

Donc notre idée, vraiment, c’est de redonner du sens, permettre aux gens de réorganiser ; un peu comme quand tu ranges ta chambre, ton appartement et que tu as l’impression, à un moment donné, que tu vois un peu mieux où tu vis. Et on se dit que si on arrive à faire ça, on arrivera peut-être à mieux retrouver un équilibre avec l’univers qui nous entoure.

Guillaume Grallet : Très bien. C’est un peu se soustraire à la bulle que certains algorithmes voudraient créer pour toi et c’est retrouver le contrôle des données que tu as un peu éparpillées partout et les ranger un peu comme tu veux.

Tariq Krim : Je donne toujours l’exemple de l’hôtel et de la maison ; quand tu es à l’hôtel tu mets tout sens dessus dessous ; tu repars, tu reviens, on t’a remis exactement : le plateau est posé exactement où il est ; ils ont une carte de la chambre, ils savent exactement où ils vont mettre le pot de fleurs, tu ne peux rien changer ! Alors que chez toi tu as peut-être une chaussette qui traîne sous le canapé, mais c’est chez toi tu l’organises de la manière dont tu veux. Et c’est un peu cette idée qu’on veut véhiculer à travers ce que l’on fait, c’est-à-dire remettre un environnement où tu te sens bien toi parce que tu l’as choisi et pas un système qui essaye, en testant plusieurs solutions, de voir ce qui sera le mieux pour toi et qui, aujourd’hui je pense, nous rend encore une fois un peu fous et complètement incapables de vivre correctement avec les outils qu’on a autour de nous.

Guillaume Grallet : Retrouver pas mal de liberté, ranger un peu, mettre un peu tout ce qu’on veut où on veut.

Tariq Krim : Ce n’était pas l’idée originelle de l’Internet d’avoir plus de liberté ; aujourd’hui on est dans une sorte de prison c’est, comment s’appelle-t-il, Nicholas Carr qui disait The Glass Cage, « la cage de verre », et je trouve que c’est d’une justesse incroyable. Les téléphones sont des prisons dorées, c’est une dystopie un peu comme dans le Brave New World, Le Meilleur des mondes où, en fait, tu acceptes progressivement de limiter tes possibilités, mais comme c’est cool, comme c’est simple, comme tout le monde le fait ! Et puis un jour, tu te rends compte que finalement tu ne fais plus grand-chose et c’est ce qui m’a fait peur et c’est pour ça que j’ai voulu lancer ce projet

Guillaume Grallet : À lire aussi le dernier livre de Andrew Keen qui est très intéressant, How to Fix the Future, sur la manière de régler ce genre de problème. Dans l’interview, tu cites également Norbert Wiener, c’est extrêmement intéressant, et puis la doctrine Gerasimov et tu vas jusqu’à dire que certaines technologies peuvent être dangereuses et qu’il faut en limiter la portée. Est-ce que tu peux dire ce à quoi tu penses et puis comment on peut s’en sortir en fait ?

Tariq Krim : Ça c’est toujours compliqué parce que quand on dit «on va limiter la technologie », il y a des gens qui disent « Hou là ! ». Je ne sais pas si c’est la technologie ou les usages, le problème qu’on a aujourd’hui c’est qu’on n’a pas pris l’ampleur du problème : ce qui s’est passé aux États-Unis, mais ce qui s’est passé finalement aussi au Brexit, un peu en France et dans tous les pays.

Je donne toujours cet exemple où tu discutes avec quelqu’un et, à un moment donné, la personne que tu as en face de toi est tellement énervée par quelque chose, ça peut être toi mais ça peut être autre chose qui n’a rien à voir, que quoi que tu lui dises, quelque argument rationnel que tu aies, elle ne t’écoute plus. Et le problème qu’on a aujourd’hui c’est que tu as 30 millions d’Américains qui sont dans cette situation. Tu as un nombre incroyable de gens en Angleterre qui sont dans cette situation. Donc on est dans un déni, c’est-à-dire qu’il n’y a plus de discussion sur des faits de rationalité. Les politiques sont évidemment, en plus, incapables de rentrer dans ces débats et donc, en fait, on se retrouve dans un moment très bizarre où des institutions qui ont leurs qualités, mais aussi leurs défauts, aujourd’hui sont critiquées pour des choses qui n’ont aucun sens.
Donc la question que je pose c’est : ces technologies de manipulation comportementale qui font qu’en fait, au lieu de te permettre d’avoir toutes les informations pour comprendre et faire partie du débat, soit on te décourage ; c’est ce qui a été fait aux États-Unis : pour plein de gens, l’idée que tu peux hacker — c’était le parti démocrate, et donc de montrer ce que la plupart des gens savaient c'est qu’il y avait une tambouille interne pour que Hillary soit mise en avant — ça a permis de démotiver pas mal de gens qui votaient pour Bernie Sanders. Tu te rends compte qu’une des techniques aussi c’est de démotiver, démotiver les Noirs américains pour voter. Enfin il y a eu plein de techniques qui sont assez effrayantes ! Un jour tu auras peut-être un homme politique qui s’adressera à un million de personnes avec un million de messages différents, personnalisés, exactement ce que tu as envie d’entendre et personne d’autre que toi le saura et donc qu’est-ce qu’on fait ? Que fait le régulateur ? Donc on est à la fois au début de quelque chose mais, en même temps, si on est naïf et qu’on se dit les données personnelles c’est effectivement un problème, le spam, les données personnelles, mais la technique de manipulation qui est possible grâce au téléphone, au timing, si on ne fait rien, eh bien c’est assez inquiétant !

Guillaume Grallet : On va profiter de t’avoir un tout petit peu Tariq, peut-être bien sûr pour prendre les questions. En attendant tu voyages pas mal, tu vas à pas mal de conférences, tu parles parfois, beaucoup t’écoutent également, tu lis pas mal de choses, est-ce qu’il y a des technos, est-ce qu’il y a des choses que tu trouves intéressantes en ce moment ? Tu as donné des livres à lire tout de suite mais est-ce qu’il y a des choses intéressantes que tu as vues récemment ?

Tariq Krim : Pour moi, la chose la plus excitante en ce moment ça se passe aux États-Unis, dans de nombreuses villes des réseaux internet alternatifs, réseaux en Mesh, soit par du laser, soit par du micro-ondes, enfin des réseaux qui se construisent ; alors on oublie, mais en France on a quand même une qualité de réseau incroyable : pour 30 euros, quand tu dis aux gens que tu as 100 gigas en fibre ou même 30 mégas en ADSL, aux États-unis les gens te disent « Ah bon ! ». Et tu as plein de villes où aujourd’hui c’est devenu tellement compliqué d’avoir de l’Internet haut débit que les gens se sont rassemblés. Et puis tu sais, avec ce qui s’est passé avec la fameuse neutralité du Net qui est abolie, qui va faire qu’en fait, en gros, on aura de moins en moins de choix pour ses opérateurs, ils ont commencé à reconstruire leurs propres opérateurs internets ; des villes comme Détroit. Et je trouve ça fascinant parce que un, ça marche très bien, et deuxièmement, ça montre que ces technologies sont aussi des choses que les gens peuvent s’approprier pour reprendre le contrôle de leur vie, justement on en parlait tout à l’heure, et je trouve que c’est quelque chose d’assez positif.

Guillaume Grallet : On dit également que les tycoons d’Internet, de technologie, ne mettent pas leurs enfants dans des écoles où il y a des écrans ; il y a notamment une école internationale Waldorf qui accueille beaucoup d’enfants de ces géants, de ces patrons de techno, où il n’y a quasiment pas d’écran justement. Pour tous les enfants d’aujourd’hui, quels conseils tu donnerais aux parents ? Est-ce qu’il ne faut pas d’écran du tout ? Est-ce qu’il faut apprendre le code comme on l’a dit un moment ou est-ce que c’est complètement idiot comme conseil ? Montessori, apprendre à apprendre ? Est-ce que tu as un conseil sur ce sujet ?

Tariq Krim : C’est compliqué parce que bon, déjà je pense que chacun a sa vision de l’éducation ; je pense que, évidemment, c’est un mélange des deux. On parle toujours des tycoons de l’Internet mais en fait, on ne sait pas trop si c’est vrai ou si ce n’est pas vrai !

Ce qui est sûr c’est que Steve Jobs détestait avoir un ordinateur à la maison, avait une vision très minimale : il avait cette idée que les objets devaient être beaux donc il n’y en avait pas beaucoup. Et cette idée qu’il a toujours dit qui, moi, a été quelque chose qui m’a marqué quand j’étais très jeune, il a dit que le jour où on comprend que le monde autour de nous a été fait par des gens comme vous et moi, ça veut dire qu’on peut le changer, ça veut dire qu’on peut changer les choses. Et ce qui est important c’est que nous, quand on a démarré l’informatique, on démontait les ordinateurs, on apprenait, on savait que ce qu’il y avait à l’intérieur de ça pouvait être changé, pouvait être différent ; on pouvait interagir. Et c’est vrai qu’aujourd’hui il y a peut-être le sentiment que les outils arrivent un peu déjà prêts comme du réchauffé ; on a juste à les mettre dans le micro-ondes et ça fonctionne. Effectivement je pense qu’il est important que l’on comprenne comment les choses marchent, ça ne veut pas dire qu’on doit les comprendre en détail.

Le code. À l’époque on disait que c’est le latin ; le latin ne sert pas dans la vie actuelle mais ça nous permet de comprendre le langage. Le code ne sert pas forcément à tout le monde, mais ça permet de comprendre les bases, de savoir que quand on va acheter un vol sur Air France, par exemple, il y a différents prix en fonction du temps, du moment, de la classe socioprofessionnelle et que tout ce que l’on voit à l’écran n’est pas une fatalité ; ça a été la décision de quelqu’un d’autre ou d’une machine et qu’il faut être capable de le comprendre. Et ça, je pense que c’est quelque chose que toute la jeune génération doit apprendre sinon la technologie ça sera de la magie, quelque chose qui est donné, inné, qu’on ne peut pas changer. Je crois que ce serait très dangereux que ça ne soit pas le cas, qu’on n’ait pas une nouvelle génération de hackers.

Guillaume Grallet : Reprendre le contrôle de la machine grâce à la compréhension des algorithmes et des éventuels biais. L’esprit maker aussi qui peut être important parce qu’on va déconstruire les machines, les reconstruire.

Tariq Krim : Absolument. De toutes façons c’est un des débats ; aujourd’hui on a de plus en plus de gens qui développent. Slors on a deux problèmes : on a la capacité de développer qui n’a jamais été aussi grande et la capacité d’avoir un impact par rapport à son travail. Et là, c’est vrai qu’un des sujets c’est que quand on a fait son app, quand on fait son site web, comment exister dans un monde où il y a des milliers de choses ? C’est très difficile et c’est de plus en plus difficile et c’est là où je pense, par contre, que à la fois l’Europe doit intervenir et doit permettre de casser cette espèce de goulot d’étranglement où, en fait, c’est la vision de 15-20 sociétés, ça veut dire à peu près 1000 personnes, qui est devenue la vision dominante. Et ça, pour moi qui ai toujours aimé développer, être libre sur le numérique, c’est quelque chose qui est souvent un peu insupportable.

Guillaume Grallet : Merci beaucoup, merci beaucoup Tariq. On te remercie. On te suit également sur Twitter.

Tariq Krim : Eh bien oui @tariqkrim si vous voulez ; je ne poste pas beaucoup ; j’essaye de poster un lien ou deux qui m’intéressent tous les deux jours donc je suis un peu moins actif qu’avant, mais en tout cas j’essaye de poster des choses de qualité.

Guillaume Grallet : Et si on veut te rejoindre sur Dissident, encourager Dissident ?

Tariq Krim : Dissident, aujourd’hui, c’est vraiment un side project, c’est une suite d’outils : on a un bureau, on a un lecteur de news et on a une bibliothèque avec des millions de contenus du domaine public. On a fait un modèle sur abonnement parce qu’on ne voulait pas de publicité ; on voulait, en fait, un modèle un peu participatif, une sorte de coopérative où les gens investissent avec nous ; ça coûte 5 euros par mois et on a, à ce prix-là, tout ce qu’on développe.
Évidemment, allez sur dissident.ai, vous pouvez vous abonner et tester. On pourra donner des codes aussi pour que les gens puissent tester gratuitement. C’était l’idée de faire quelque chose un peu artisanal ; au moment où on avait des grosses machines avec du gros marketing, j’avais envie de faire quelque chose de… À chaque fois je me suis heurté à Google et à chaque fois j’ai perdu, donc j’avais envie de faire quelque chose d’un peu plus petit, d’un peu plus artisanal avec une équipe incroyable, mais c’est le produit avant tout. On se compare un peu des fois à un producteur de vins naturels ou à des petites entreprises qui font des produits de qualité, donc on essaie de faire de la qualité dans le numérique et voila.

Guillaume Grallet : Merci beaucoup Tariq.

Tariq Krim : Merci encore de m’avoir invité.

Un pognon de dingue

Avant de démissionner de France Stratégie pour rejoindre l’équipe de campagne d’Emmanuel Macron, Jean Pisani-Ferry présidait le comité de suivi du CICE (crédit d’impôt pour la compétitivité et l’emploi). A ce titre, il est bien placé pour connaître les conclusions du dernier rapport de ce comité 2: « la prise en compte de l’année 2015 dans les travaux d’évaluation ne lève pas toutes les incertitudes entourant l’effet du CICE sur l’emploi. Un effet positif mais modéré, concentré sur les entreprises les plus exposées au CICE, lui paraît le plus vraisemblable, de l’ordre de 100 000 emplois sauvegardés ou créés sur la période 2013-2015 (mais dans une fourchette large, allant de 10 000 à 200 000 emplois) ».

Sur la période 2013-2015, le CICE représente une « créance fiscale » de 47,9 milliards (11,6 en 2013 ; 17,7 en 2014 ; 18,6 en 2015). Si on rapporte cette dépense au haut de la fourchette (200 000 emplois sauvegardés ou créés), on trouve un coût unitaire de 20 000 euros par mois ! Avec ces 48 milliards, on aurait pu créer deux millions d’emploi à 2 000 euros par mois et, en plus, faire vraiment baisser les dépenses d’indemnisation du chômage.

Si « la dépense pour l’emploi a explosé », c’est évidemment du côté des « aides » que la Dares répertorie ainsi pour 2015 : 30,5 milliards en exonérations de cotisations sociales ; 23,3 milliards en « dépenses fiscales » (dont le CICE) ; enfin 16,8 milliards de transferts aux employeurs et prestataires de services. C’est la stratégie de la dépense incitative à la création d’emplois qui a atteint ses limites.

Source

A qui profite le crime ?

None

Pendant ce temps, en 2017, le discret patron de LVMH passe de la 11e à la 4e position au classement des hommes les plus riches. La fortune de Bernard Arnault a crû de près de 30 milliards de dollars sur un an. Il devient, par la même occasion, l’homme le plus riche d’Europe et reste par conséquent l’homme le plus riche de France.

Rappelez vous, en 2012, il se foutait déjà de la gueule des français :

None

Il n’avait pas hésité à déclarer frauduleusement qu’il résidait en Belgique. Bizarrement le redressement fiscal de 1 milliard d’euros s’est transformé en « transaction » de 2.5 millions d’euros… Le ministère des Finances n’a pas souhaité faire de commentaire sur cette affaire, invoquant le secret fiscal.

Ceux qui attendent le ruissellement sur les pauvres vont surtout prendre une douche froide.

Related Posts:

Alerte canicule : ça chauffe sous les scalps France Insoumise

Quand une militante anti plein de choses perd une occasion de se taire

C'est l'été, il fait chaud. Gare à l'utilisation intempestive des réseaux sociaux, les esprits s'échauffent vite, quitte à proférer quelques imbécilités. Exemple...

Article du Canard

Cette semaine, le Canard publie un portrait de Sophia Chikirou. Chaque semaine, le palmipède dresse un portrait pas toujours amène d'une personnalité en page 7, sous la têtière "Prise de becs". Cette fois, c'est le tour de l'ex bras-droit de Jean-Luc Mélenchon. Crime de lèse-majesté, menteries évidentes, basse vengence, Sophia Chikirou mitraille sur Twitter.

Sophia Chikirou répond au Canard - Capture d'écran - CC
Sophia Chikirou répond au Canard - Capture d'écran - CC

Etant un peu au fait des choses canardesques pour y publier quelques articles depuis plus de vingt ans, je me permets d'apporter une précision. Sophia Chikirou se lance dans une théorie un peu conspirationniste dans la mesure où le "papa de Aude Rossigneux" a quitté le Canard depuis déjà un bon moment.

Echange de tweets - Copie d'écran - CC
Echange de tweets - Copie d'écran - CC

Rembobinons... Pourquoi cette tirade sur le papa d'Aude Rossigneux ? Parce que Aude Rossigneux a été licenciée par le Média, la chaîne dirigée par Sophia Chikirou et très proche (euphémisme) de la France Insoumise. Or, le papa en question a été rédacteur en chef du Canard Enchaîné. CQFD, le Canard publie un portrait de Sophia Chikirou pour venger la fille de son rédac'chef.

Oui, mais non. Le papa a quitté le journal depuis belle lurette.

Sophia Chikirou ne répond bien entendu pas à mon tweet. Mais une militante se charge donner des pistes de réflexions aux gens qui suivent le thread...

Le Canard, ce journal macroniste... - Copie d'écran - CC
Le Canard, ce journal macroniste... - Copie d'écran - CC

Si le Canard ne venge pas...

Concrètement, comment rendre les algorithmes responsables et équitables ?

Face aux multiples biais inscrits dans la production même des données utilisées par les algorithmes et les outils d’apprentissage automatisés, le risque, rappelle la chercheuse Kate Crawford (@katecrowford), co-fondatrice de l’AI Now Institute (@AINowInstitute), est que « plutôt que de concevoir des systèmes censés résoudre les problèmes, nous les exacerbions ». La question à laquelle sont confrontés les ingénieurs consiste à trouver les modalités pour rendre les systèmes techniques plus responsables, plus équitables. Les initiatives en ce sens se multiplient : en mai, le conseil municipal de New York, sous la responsabilité de Carmelyn Malalis, responsable de la Commission sur les droits de l’homme de la ville, a adopté un projet de loi et lancé un groupe de travail sur les biais algorithmiques, rapporte Nature en évoquant également les promesses du président français de rendre le code des algorithmes publics ouvert, ou les appels du gouvernement britannique à rendre les données utilisées par les services publics transparents et responsables, en se dotant d’un cadre éthique des données. Ce cadre éthique rappelle quelques grandes évidences, comme inviter les concepteurs à être clairs sur leurs objectifs, à utiliser les données d’une manière proportionnée aux besoins en cherchant à les minimiser, à en comprendre les limites et à avoir une approche responsable… et complète les principes émis par le Nesta pour améliorer la prise de décision algorithmique . Mais rendre les algorithmes équitables, responsables et efficaces n’est pas si simple. Ces questions ne sont pas nouvelles, rappelle l’article de Nature, mais à mesure que de grands ensembles de données et des modèles plus complexes se répandent, « il devient de plus en plus difficile d’ignorer leurs implications éthiques », explique le spécialiste de la justiciabilité des algorithmes Suresh Venkatasubramanian (@geomblog, blog).

L’article de Nature revient bien sûr sur la difficulté à créer des services algorithmiques responsables en évoquant notamment l’outil de prédiction du risque de maltraitance et d’agression d’enfants développés par le bureau de l’enfance, de la jeunesse et des familles du comté d’Allegheny en Pennsylvanie, qu’avait étrillé le livre de Virginia Eubanks, dont nous avions rendu compte ou les limites des logiciels de police prédictive (dont nous avons également déjà beaucoup parlé). Et rappelle la difficulté à définir mathématiquement l’équité, comme l’a souligné l’informaticien Arvind Narayanan (@random_walker) lors de la dernière édition de la conférence FAT (la conférence annuelle sur l’équité, la responsabilité et la transparence). Outre les biais et déséquilibres statistiques, rappelle David Robinson (@drobinsonian), responsable des associations EqualFuture et Upturn (et qui a notamment publié un rapport sur la question de l’examen public des décisions automatisées (.pdf)), leur impact dépend surtout de la manière dont sont utilisés ces systèmes, avec le risque, que pointait Eubanks, que les plus discriminés soient encore plus surveillés par ces systèmes.

Page d'accueil de l'AI Now Institude

Comment traquer les biais ?

Pour remédier à ces problèmes, beaucoup d’agences américaines ont recours à des chercheurs extérieurs pour déjouer les biais de leurs systèmes. En avril, l’AI Now Institute a défini un cadre (voir le rapport (.pdf)) pour les organismes publics qui souhaitent mettre en place des outils de prise de décision algorithmique, recommandant notamment de mettre à contribution la communauté de la recherche et de permettre à ceux que le système calcul de faire appel des décisions prises à leur sujet. Ce travail d’évaluation de l’impact algorithmique rappelle que les systèmes de décision automatisés sont déjà nombreux. L’initiative AI Now a appelé à la fin de l’utilisation de systèmes opaques pour les décisions publiques, afin d’assurer l’équité et la régularité des procédures et se prémunir contre la discrimination. Leurs recommandations invitent les systèmes à respecter le droit d’information du public, à recourir à des examens par des chercheurs indépendants, à améliorer l’expertise des organismes qui les conçoivent et à développer des modalités pour permettre au public de contester les décisions prises. L’initiative recommande aux agences publiques de répertorier et décrire les systèmes de décision automatisés, y compris d’évaluer leur portée et impact. Elle recommande également de mettre en place des modalités d’accès afin que des chercheurs, des experts indépendants, des associations ou des journalistes puissent accéder et évaluer ces systèmes et pour cela doivent s’assurer notamment que leurs fournisseurs privés de systèmes acceptent ces vérifications. Elle souligne également que les agences doivent monter en compétences pour être expertes des systèmes qu’elles mettent en place, notamment pour mieux informer le public, et invite les fournisseurs de solutions à privilégier l’équité, la responsabilité et la transparence dans leurs offres. Cela permettrait également aux organismes publics de développer des procédures de médiation, d’appel ou de réfutation des décisions prises. Obliger les systèmes à publier des analyses d’impact de leurs outils de décision automatisé pourrait enfin permettre au public d’évaluer les outils et la transparence des services.

La question de la mesure d’impact avait déjà été pointée par le travail original de Nicholas Diakopoulos (@ndiakopoulos) et Sorelle Friedler (@kdphd) pour Data & Society réalisé en 2016 dont nous avions rendu compte. Le rapport de l’AI Now Institute a depuis tenté de compléter la proposition, mais il demeure difficile de saisir, pratiquement, à quoi pourrait ressembler une déclaration d’impact. Pour cela, le chercheur Andrew Selbst (@aselbst) recommande, dans un de ses articles, de s’inspirer des études d’impact environnementales (voir également les explications sur le site du Ministère de la transition écologique et solidaire), afin de faire établir un rapport sur l’efficacité et le caractère discriminatoire des systèmes automatisés, qui seraient soumis à évaluation publique (ou qui pourrait fonctionner sur le modèle des Analyses d’impact relatives à la protection des données de la Cnil). Bien sûr, Andrew Selbst n’en est pas moins critique sur les études d’impact. Dans le cadre environnemental, ces études s’avèrent longues, coûteuses (jargonneuses) et pas toujours très utiles. Cependant, elles permettent de responsabiliser le producteur de traitement automatisé, d’explorer des alternatives argumentées (et donc de mieux comprendre les options choisies comme celles rejetées) et de mieux expliciter les conséquences des systèmes.

Matrice de déclaration d'impact relative à la protection des données par la CNIL

Mais ce n’est pas la seule piste qui permettrait d’interroger les biais des systèmes automatisés. Microsoft travaille à un outil de détection automatique des biais, Facebook également (notamment via le projet Fairness Flow annoncé par Isabel Kloumann du département d’IA de FB research à la dernière conférence de F8 Conference parmi une longue liste d’outils pour l’IA) rapporte la Technology Review. Accenture a également lancé un outil de ce type. D’autres chercheurs, comme Christo Wilson (@bowlinearl), travaillent à construire des outils pour simuler des systèmes afin d’en découvrir les biais, via des formes de rétro-ingénierie très convaincantes, à l’image de ce qu’il a construit pour comprendre l’algorithme de tarification d’Uber ou du travail réalisé pour comprendre les biais de genre des moteurs de recherche d’emplois. Wilson est notamment responsable d’un groupe de recherche sur l’audit algorithmique créé par le collège d’informatique de l’université Northeastern. En mai, Rayid Ghani (@rayidghani), directeur du Centre pour la Science des données et les politiques publiques de l’université de Chicago a lancé un logiciel open source, Aequitas, pour aider les ingénieurs à auditer leurs modèles.

L'arbre de décision équitable d'Aequitas

La mathématicienne Cathy O’Neil (@mathbabedotorg, blog), qui s’est fait connaître en dénonçant les dangers de ces outils, a lancé une entreprise d’audit algorithmique. Visiblement, souligne Wired, ses premiers clients sont des entreprises qui ont besoin de certifier qu’elles sont équitables : comme cela a été le cas de Rentlogic, une entreprise qui évalue les immeubles automatiquement pour leur attribuer une note, ou comme Pymetrics, une entreprise qui utilise des tests de personnalité pour aider les entreprises à embaucher qui avait besoin d’assurer que ses logiciels n’étaient pas discriminants. L’article de Wired rappelle que s’il n’existe pas de protocole standard pour ces audits réalisés par des entreprises indépendantes, ceux-ci sont rarement altruistes. « Les entreprises peuvent avoir à prouver aux régulateurs que leur technologie ne discrimine pas une catégorie de personnes protégée. Pour d’autres, un audit pourrait empêcher de futurs litiges. Pour d’autres encore, recevoir un sceau d’approbation de la part d’un tiers est un outil marketing, suggérant aux clients potentiels qu’ils peuvent avoir confiance… Quelle que soit la raison, de plus en plus d’entreprises se soumettent à des audits externes, signe qu’ils peuvent devenir la norme ». Mais si l’audit est une pratique courante, ce n’est pas encore le cas de l’audit des systèmes algorithmiques.

Tant et si bien que certains chercheurs et activistes en appellent à un moratoire à l’utilisation d’algorithmes dans certains domaines, comme la justice pénale, à l’exemple du Centre sur la race, l’inégalité et la loi de l’école de droit de l’université de New York.

Comment passer des serments éthiques à leur implémentation concrète ?

Autre réponse aux difficultés actuelles, ces derniers temps, la publication de déclarations éthiques a connu une rare inflation. Google a notamment proposé des objectifs et principes très généraux pour cadrer ses développements en intelligence artificielle. Dans son livre, Weapons of Math Destruction, Cathy O’Neil avait émis l’idée de créer un serment d’Hippocrate pour les datascientists, sous la forme d’un code de conduite édictant quelques principes moraux. Elle soulignait dans une remarquable interview pour Wired, que ce code de conduite n’était certes pas suffisant en soi, notamment parce que les datascientists ne sont pas seuls à décider de ce qui sera implémenté dans les services développés par les entreprises. Pour autant, ces techniciens ne peuvent pas seulement suivre « les recommandations des manuels d’optimisation qu’ils utilisent, sans tenir compte des conséquences plus larges de leur travail ». Cathy O’Neil a proposé une matrice éthique, basée sur les travaux du philosophe Ben Mepham qui l’a utilisé en bioéthique, qui aide à saisir ce sur quoi ce que l’on développe a un impact, et de l’autre ce dont s’inquiète les gens qui sont impactés par ce que l’on développe. Cette grille confronte quelques notions (exactitude, cohérence, partialité, transparence, équité, rapidité) à leur impact sur chacune des parties prenantes. La matrice sert à créer une conversation. Chaque case propose des questions : « qui souffre si le système se trompe ? » Le but est de révéler des problèmes. Quand la réponse pose problème, la case est colorée de rouge.

La matrice éthique de Cathy O'Neil
Image : la matrice éthique de Cathy O’Neil, présentée sur la scène de la Now You Know Conference de mai 2018 à Chicago via Giles Palmer.

Elle propose également de se poser plusieurs questions, comme « les algorithmes que nous déployons vont-ils améliorer les processus humains qu’ils remplacent ? » Bien souvent, on constate qu’ils fonctionnent beaucoup plus mal que les systèmes précédents. Pour elle, il est également nécessaire de se demander : « pour qui l’algorithme échoue-t-il ? » Un système de reconnaissance facial échoue-t-il plus souvent pour les femmes que pour les hommes, pour les gens de couleurs que pour les blancs, pour les personnes âgées que pour les jeunes ?… Enfin, elle invite à se poser une troisième catégorie de questions : « est-ce que cela fonctionne pour la société (donc à très large échelle) ? Est-ce que nous enregistrons les erreurs du système ? Peut-on les réintroduire dans l’algorithme pour l’améliorer ? Est-ce que le système a des conséquences non intentionnelles ?… » Et la chercheuse de rappeler qu’aucunes de ces questions ne mettent en danger les secrets des algorithmes que les entreprises veulent protéger. Même sur la question de l’audit des algorithmes, explique-t-elle, elles n’ont pas nécessairement besoin de dévoiler leurs algorithmes magiques. Il suffirait d’effectuer des tests avec des données pas nécessairement d’avoir accès au code source de leurs systèmes.

Pour l’instant, Cathy O’Neil a refusé de signer les serments d’Hippocrate pour les datascientists qui lui ont été soumis. Pour elle, trop souvent, ils n’insistent pas assez sur la responsabilité du datascientist.

Bon, cela n’a pas refroidi les initiatives. En février, Tom Simonite pour Wired rapportait les échanges qui avaient lieu lors de la conférence Data For Good Exchange, organisée par DJ Patil, l’ancien datascientist de l’administration Obama, et qui avaient donné lieu à une première liste de principes éthiques (qui a visiblement abouti depuis à ce code de conduite sur l’éthique des pratiques des données). Un des participants est demeuré sceptique : « Le projet de serment ressemble à une liste de principes généraux avec lesquels personne ne serait en désaccord ». Simonite souligne que le milieu ne dispose ni d’autorité ni de législation pour faire respecter des règles de pratique de toute façon. Et si les formations de datascientist se multiplient, nombre de ceux qui font ce travail sont des autodidactes. Dans son long rapport sur l’IA et la société, Microsoft estime que des principes de base pourraient être utiles. « Mais le président de Microsoft, Brad Smith, suggère que l’entreprise ne s’attend pas à ce que les clients qui construisent des systèmes d’intelligence artificielle en utilisant les services d’informatique en nuage de Microsoft répondent nécessairement aux mêmes normes. »

Code de conduite sur l'éthique des données

Le militant pour la protection de la vie privée Aral Balkan (@aral) estime qu’un code d’éthique risque surtout d’être utilisé comme caution de vertu par les entreprises pour continuer à faire comme d’habitude. Appliquer le RGPD aux États-Unis aurait plus d’impact pour prévenir les dommages algorithmiques. Sur son blog, Virginia Eubanks a réagi en proposant plutôt un « serment de non-violence numérique », qui, dans la forme au moins, est plus impliquant pour celui amené à le prononcer que de signer à quelques grands principes vagues. Sur Forbes, Lori Sherer de Bain & Company proposait également de transcrire le serment d’Hippocrate à l’intention des datascientists. Le think tank britannique qui milite pour un internet plus équitable DotEveryOne (@doteveryone) en a recensé des centaines (sous forme de principes, serments, manifestes… voir la liste) et en a proposé un très court. La France n’est pas en reste, rapportait récemment Le Monde : l’association Data for good (@dataforgood_fr) a publié un serment d’Hippocrate pour datascientists et un collectif d’entrepreneurs franco-américains ont publié le serment Holberton-Turing.

Les principes du serment d'Hippocrate de Data for Good

Les deux initiatives s’inspirent du serment d’Hippocrate que les médecins prêtent à la fin de leurs études. Ce rite de passage qui a plus valeur morale que portée juridique (par rapport au code de déontologie par exemple) rappelle aux médecins qu’ils ont des obligations légales, morales et éthiques. Mais, comme l’explique très bien l’écrivain et médecin Martin Winckler (blog, @MartinWinckler) dans l’édifiant Les brutes en blanc (2016), son ouvrage sur la maltraitance médicale, l’éthique n’a cessé d’évoluer. Dans le serment d’Hippocrate originel, il est ainsi interdit aux médecins d’offrir aux femmes la possibilité d’avorter sans que leur mari l’ait décidé. L’éthique se définit toujours par rapport à la morale dominante… rappelle Winckler. Pour lui, le serment d’Hippocrate derrière lequel se cache le corps médical est devenu une barrière à l’évolution des pratiques éthiques (comme de reconsidérer les questions de fin de vie ou de maltraitance). Le serment ne protège pas de la culture propre à chaque discipline, et le prêter ne protège pas de l’asymétrie de la relation entre le médecin et le patient, pas plus qu’elle ne protège de l’asymétrie entre le système de calcul et le calculé. Les règles de conduite ne suffisent pas toujours à créer des repères moraux. Dans son livre, Winckler finalement propose une autre approche qu’il faudrait certainement explorer, en donnant des conseils pratiques aux patients. Est-ce à dire qu’il faudrait plutôt construire des principes pour les calculés plutôt que pour les calculeurs ?

Sur O’Reilly Media, Mike Loukides (@mikeloukides), Hilary Mason (@hmason) et DJ Patil (@dpatil, blog), l’ancien datascientist de l’administration Obama, rappellent que les spécialistes des données n’ont pas attendu les problèmes récents pour se doter de codes d’éthique, à l’image du code d’éthique de l’ACM, l’une des grandes associations du secteur informatique, qui date de 1993, ou celui (.pdf) de l’Association américaine de statistique… Mais l’enjeu demeure de les mettre en pratique. « Tout code d’éthique des données vous indiquera que vous ne devez pas collecter des données de sujets expérimentaux sans leur consentement éclairé. Mais ce code de conduite ne vous dira pas comment implémenter ce consentement éclairé. Or, celui-ci est facile si vous interrogez quelques personnes pour une expérience de psychologie. Mais il signifie quelque chose de bien différent en ligne ». Et ce n’est pas la même chose bien sûr de demander la permission via une fenêtre pop-up par exemple ou que via une case précochée cachée… La mise en oeuvre de principes éthiques englobe des questions qui vont des choix dans l’interface utilisateur aux choix de structuration des données ou d’interrogation des données de connexion. Et pose la question de rendre néanmoins le service utilisable sans dégrader l’expérience utilisateur… L’enjeu consiste à réfléchir « à la mise en oeuvre pratique des principes éthiques », et à partager les meilleures pratiques. Comment par exemple concevoir une expérience utilisateur équitable sans rendre l’application inutilisable ? Faut-il mieux montrer aux utilisateurs une fenêtre pop-up avec des informations juridiques ou guider longuement l’utilisateur dans des explications sur les choix qu’il peut faire (pas sûr que l’un ou l’autre ne soient de bonnes options ni qu’ils ne rencontrent une grande approbation des utilisateurs comme des concepteurs d’ailleurs) ? Comment vérifier que les applications soient équitables si nous décidons de ne plus recourir à des données sensibles ? … « En tant que technologues, nous partageons fréquemment de bonnes pratiques dans les conférences, sur nos blogs, via les technologies open source que nous développons, mais nous discutons rarement de problèmes tels que comment obtenir un consentement éclairé de l’utilisateur ».

Pour les trois auteurs, il est nécessaire de créer des cultures d’entreprises où l’on peut avoir ces discussions. « Il nous faut réfléchir aux conséquences involontaires produites par ce que nous imaginons ». Cela nécessite de créer ces espaces et ces temps dans les calendriers mêmes des projets. Il est nécessaire également de pouvoir arrêter la chaîne de production en cas de problème, surtout à l’heure du développement agile et du déploiement en temps réel de nouvelles fonctionnalités… L’autre problème, soulignent les auteurs, est bien sûr que les environnements d’entreprises sont souvent hostiles à tout autre chose qu’à la rentabilité à court terme. Si, comme le disait Susan Etlinger, l’éthique est un bon investissement, les changements de la culture d’entreprise, eux, prendront du temps. Reste, rappellent-ils, que les utilisateurs préfèrent s’engager avec des entreprises auxquelles ils peuvent faire confiance pour qu’elles n’en tirent pas un avantage injuste, au détriment de l’utilisateur. Les utilisateurs préféreront traiter avec des entreprises qui les traiteront et traiteront leurs données de manière responsable, et pas seulement pour en tirer un profit à court terme ou un engagement qu’il faut toujours maximiser. Et ces entreprises-là seront celles qui créeront un espace éthique au sein de leurs organisations, pas seulement en engageant des éthiciens, mais en faisant que les datascientists, les ingénieurs, les concepteurs, les spécialistes de l’IA au sein de ces entreprises y travaillent de concert.

la checklist de contrôle du développement de systèmes automatisésDans un autre article pour O’Reilly Media, les 3 mêmes auteurs pointent les limites des serments et déclaration d’intention. On ne les prête qu’une fois et on évalue donc insuffisamment et peu régulièrement si on est à la hauteur des enjeux. Les serments sont très généraux : souvent, ils déclarent ne pas vouloir nuire, mais les médecins eux-mêmes, même en prêtant serment, n’ont pas toujours fait le bien, sans savoir tout le temps qu’ils faisaient du mal au regard des connaissances dont ils disposaient. « Ces principes généraux sont une bonne idée, mais restent vides sur l’exécution, et les systèmes automatisés sont avant tout des questions d’exécution ». Ces principes sont certes importants, mais « ils ne nous amènent pas au point final que nous voulons atteindre. Ils ne relient pas nos idées sur ce qui est bien ou juste aux pratiques qui créent le bien ou la justice. Nous pouvons parler longtemps de l’importance d’être juste et impartial sans savoir comment être juste et impartial. Le serment peut-être finalement dangereux : il devient un outil pour vous convaincre que vous êtes quelqu’un de bien, que vous faites de bonnes choses… quand, en fait, vous ne savez pas. »

Par contre, ces serments et principes sont utiles pour susciter des discussions, pour sensibiliser à ces enjeux, pour comprendre que le travail réalisé n’est pas neutre. D’où leur démultiplication.

Les 3 auteurs s’inspirent de la célèbre liste de contrôle imaginée par le chirurgien Atul Gawande pour réduire les erreurs dans les salles d’opération. « Contrairement aux serments, les cheklists relient le principe à la pratique » En cochant une case sur un formulaire après avoir fait ce que vous deviez faire, vous ne risquez pas de l’oublier. La liste de contrôle n’est pas quelque chose qu’on récite une fois et qu’on oublie, c’est quelque chose que vous travaillez à chaque procédure. Leur efficacité est liée à leur simplicité. Les 3 auteurs sont partis du travail du manuel d’éthique des données du gouvernement britannique pour en proposer une. Elle n’est pas sans faille, mais ils l’a proposent comme une version à améliorer.

Audit, déclaration d’impact social, matrices, checklists… sont autant d’outils pratiques à construire pour rendre les développements logiciels responsables et équitables. Espérons que ces méthodes continuent à se développer.

Hubert Guillaud

Pour rappel, avec la Fing, éditeur d’InternetActu.net, via le groupe de travail NosSystèmes nous avons également établi des principes pour rendre les systèmes techniques plus responsables, qui recoupent en grande partie certains des enjeux esquissés dans cet article. Des méthodes, outils et techniques qui devraient permettre d’améliorer et préciser notre grille de lecture.

Souvenir de Gamer : Macadam Bumper (1985)

A une époque où les flippers n’étaient pas encore sur écran, où on pouvait faire des Tilt, ce fut un premier essai assez réussi. Mais le temps passe… J’ai évidemment découvert ce jeu sur mon Amstrad CPC. Il était sorti aussi sur l’Atari ST mais est resté dans le monde 8bits et PC de l’époque.… Lire la suite Souvenir de Gamer : Macadam Bumper (1985)

Données personnelles et recherche scientifique : quelle articulation dans le RGPD ?

Travaillant en milieu universitaire, j’ai pu constater que les chercheurs se posent beaucoup de questions quant aux conséquences de l’entrée en vigueur du RGPD (Règlement Général de Protection des Données [1]) sur les activités de recherche scientifique, lorsqu’elles impliquent des traitements de données personnelles.

La réponse n’est pas simple à donner, car le texte du règlement est particulièrement complexe et il évoque à de nombreux endroits les activités de recherche. Mais une lecture attentive permet d’arriver à la conclusion que, comme c’est le cas pour les traitements réalisés à des fins archivistiques, le RGPD prévoit un régime dérogatoire pour les activités de recherche scientifique, destiné à faciliter les traitements de données personnelles en la matière.

Tout l’enjeu consiste donc à cerner la portée de ces dérogations et à établir ce qu’elles permettent exactement aux chercheurs de faire, afin de sécuriser les pratiques. Cette articulation entre protection des données personnelles et activités de recherche est d’une grande importance, car sans ce régime dérogatoire, il serait très difficile pour les chercheurs de monter des projets impliquant des traitements de données personnelles.

A défaut, la recherche risquerait même de tomber dans la dépendance vis-à-vis de grandes plateformes privées pour l’accès à des données exploitables. On voit d’ailleurs déjà un tel processus commencer à s’installer, avec Facebook par exemple qui annonçait la semaine dernière la remise d’un important corpus de données à Social Science One, une commission « indépendante » de recherche mise en place avec le soutien de la firme. Or ce type de montage soulève de nombreuses questions, puisque les chercheurs sont bien dans ce cas structurellement « dépendants » de la plateforme pour obtenir la matière première de leurs travaux. Dans un autre registre, on commence aussi à voir des intermédiaires se positionner pour faire l’interface entre des individus leur fournissant des données personnelles et des projets de recherche, avec la promesse de les rémunérer pour cet usage (voir cet exemple récent en matière de santé). Il y a alors glissement vers la patrimonialisation et la monétisation des données, une pente sur laquelle ni les individus, ni la recherche n’ont, à mon sens, intérêt à se laisser entraîner…

D’où l’importance de ces dérogations prévues par le RGPD, car elles offrent à la recherche publiques des garanties pour assurer son indépendance sans pour autant sacrifier l’impératif de protéger les droits fondamentaux des personnes. Ce dernier point est important, car il faut se souvenir que toute l’affaire Cambridge Analytica, par exemple, est partie d’un projet de recherche qui a fini par déraper avec à la clé les conséquences dramatiques que l’on sait. On ne saurait donc permettre aux chercheurs de tout faire sans garde-fou, mais la difficulté consiste justement à trouver le bon équilibre.

Le texte ci-dessous constitue une première exploration de ce régime dérogatoire prévu par le RGPD au bénéfice des activités de recherche scientifique, sachant que ces dérogations figurent en partie dans le règlement comme des options activables par les États au niveau national. Il importe donc également de se référer à la loi Informatique et Libertés, telle que modifiée le 20 juin 2018[2] pour connaître l’étendue exacte des règles particulières applicables en matière de recherche scientifique.

N’hésitez pas à intervenir dans les commentaires de ce billet pour discuter de ces analyses, car certaines des dispositions du RGPD sont complexes à interpréter et méritent sans doute discussion.

Table des matières

I Place des activités de recherche dans le RGPD

1) Importance reconnue aux activités de recherche par le RGPD

2) Périmètre de la « recherche scientifique» dans le RGPD

II Dérogation au principe de limitation des finalités

1) Admission d’une certaine indétermination des finalités des traitements à des fins de recherche

2) Compatibilité de la finalité de recherche avec une finalité initiale différente

III Dérogation au principe de limitation de la durée de conservation

1) Possibilité d’une conservation au-delà de la réalisation de la finalité du traitement

2) Articulation avec les traitements archivistiques

IV Absence de dérogation au principe de minimisation

1) Soumission de la recherche au principe de minimisation

2) Incitation à la pseudonymisation des données

V Possibilité de traitement de données dites « sensibles »

1) Dérogation à l’interdiction du traitement des données sensibles

2) Cas particulier des recherches sur des données de santé

VI Dérogations aux droits des personnes

1) Pas d’activation en France de toutes les dérogations prévues par le RGPD

2) Dérogation au droit à l’information

3) Dérogations au droit à l’oubli et au droit d’opposition

VII Dérogation prévue pour l’expression universitaire

1) Une possibilité ouverte par le RGPD…

2) … mais non activée en France ?

I Place des activités de recherche dans le RGPD

1) Importance reconnue aux activités de recherche par le RGPD

Le RGPD souligne explicitement l’importance et l’intérêt pour la société des traitements effectués à des fins de recherche scientifique ou historique (c. 156 et 157) et le texte insiste sur la légitimité des activités de recherche, à condition qu’elles respectent les conditions de protection des données personnelles fixées par le règlement :

(c. 157) Pour faciliter la recherche scientifique, les données à caractère personnel peuvent être traitées à des fins de recherche scientifique sous réserve de conditions et de garanties appropriées prévues dans le droit de l’Union ou le droit des États membre.

(c. 159) Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique, le présent règlement devrait également s’appliquer à ce traitement.

Tout comme pour les traitements réalisés à des fins archivistiques ou statistiques, un équilibre doit être opéré avec les droits et libertés des personnes concernées (c. 156) :

Le traitement des données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement.

Mais le RGPD admet que les Etats-membres puissent prévoir dans leur législation nationale des dérogations à certains des droits que les personnes peuvent faire valoir vis-à-vis des responsables de traitements (c. 156) :

Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d’information et les droits à la rectification, à l’effacement, à l’oubli, à la limitation du traitement, à la portabilité des données et le droit d’opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

On verra cependant plus loin (partie VI) que, contrairement à ce qui a été retenu pour les traitements réalisés à des fins archivistiques, la France n’a choisi d’activer qu’un petit nombre de ces options lors de la mise en conformité de la loi Informatique & Libertés intervenue en juin dernier.

2) Périmètre de la « recherche scientifique» dans le RGPD

Le considérant 159 donne une définition de ce que recouvre la notion de « recherche scientifique » dans le RGPD, en appelant à adopter une interprétation extensive du terme :

Aux fins du présent règlement, le traitement de données à caractère personnel à des fins de recherche scientifique devrait être interprété au sens large et couvrir, par exemple, le développement et la démonstration de technologies, la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé. Il devrait, en outre, tenir compte de l’objectif de l’Union mentionné à l’article 179, paragraphe 1, du traité sur le fonctionnement de l’Union européenne, consistant à réaliser un espace européen de la recherche. Par «fins de recherche scientifique», il convient également d’entendre les études menées dans l’intérêt public dans le domaine de la santé publique.

On peut en déduire que ce terme renvoie dans le règlement aussi bien à la recherche publique que privée. C’est une différence par rapport aux traitements réalisés à des fins archivistiques, pour lesquels le RGPD prend le soin de préciser qu’ils doivent être effectués « dans l’intérêt public ». Le SIAF (Service Interministériel des Archives de France) en conclut que les dérogations prévues pour les activités archivistiques ne s’appliquent qu’aux services d’archives publiques tenant leur compétence en vertu d’une disposition légale (et non aux archives privées[3]).

II Dérogations au principe de limitation des finalités

1) Admission d’une certaine indétermination des finalités des traitements à des fins de recherche

L’article 5[4] prévoit que les données personnelles ne peuvent être collectées que pour des « finalités déterminées, explicites et légitimes » qui doivent en principe être définies en amont du traitement et être portées à la connaissance des personnes concernées (articles 13 et 14[5]).

Néanmoins, le considérant 33 admet qu’il n’est pas toujours possible de déterminer à l’avance la finalité exacte d’un traitement effectué à des fins de recherche scientifique :

Souvent, il n’est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.

Les chercheurs disposent donc d’une certaine marge de manœuvre plus pour formuler les finalités des traitements de données collectées d’une manière moins précise que ce qui est exigé en principe par le RGPD. Il peut être admis par exemple que cette finalité s’élargisse ou se précise au fil du projet de recherche et en fonction de ses nécessités.

C’est le seul cas où le RGPD tolère une « indétermination » de la finalité initiale d’un traitement de données.

2) Compatibilité de la finalité de recherche avec une finalité initiale différente

Le RGPD exige que la finalité d’un traitement soit « déterminée », mais il admet qu’un responsable de traitement puisse en changer du moment que les nouvelles finalités-ci restent « compatibles » avec la finalité initiales de la collecte de données.

Néanmoins pour ce qui est de la recherche scientifique, le texte instaure une forme de présomption aux termes de laquelle le changement de finalité sera systématiquement réputé compatible avec la finalité initiale du moment que le traitement ultérieur est effectué à des fins de recherche scientifique (c. 50) :

Le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifiques ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible.

Il en résulte une dérogation au principe de limitation des finalités, reprise à l’article 5[6] du RGPD :

[…] le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

La loi Informatique & Libertés contient une disposition similaire à son article 6. 2°, mais elle ajoute que le traitement ultérieur devra être exercé « dans le respect des principes et des procédures prévues au présent chapitre [respect des conditions de licéité des traitements de données], au chapitre IV [formalités préalables] et à la section 1 du chapitre V [information des personnes] ainsi qu’au chapitre IX [dispositions particulières aux données de santé] et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées. »

Cette dérogation emporte des conséquences importantes, car elle permet sans doute à des chercheurs de se rapprocher de responsables de traitement ayant collecté de manière licite des données personnelles afin que celles-ci leur soient remises pour conduire des recherches. Les chercheurs ne sont donc pas obligés de collecter par eux-mêmes les données sur la base du consentement des personnes, ils peuvent aussi passer par des tiers afin de se faire confier des données par le responsable du traitement initial, puisque le changement de finalité à des fins de recherche est admis par le RGPD. On peut imaginer que ce type de partenariats de recherche passent par l’établissement de conventions aux termes desquelles le fournisseur de données et l’équipe de recherche se reconnaissent comme co-responsables du traitement.

On verra plus loin (partie VI.2) que cette latitude ne délie cependant pas les chercheurs du respect des droits des personnes (notamment le droit à l’information), même si une certaine marge de manœuvre est là-aussi admise par le texte.

III Dérogation au principe de limitation de la durée de conservation

1) Possibilité d’une conservation au-delà de la réalisation de la finalité du traitement

Le RGPD prévoit à son article 5 que les données ne peuvent être conservées « sous une forme permettant l’identification des personnes concernées » que pendant « une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le considérant 39 précise même que la durée de conservation devrait être limitée au « strict minimum ».

Néanmoins là encore, une dérogation est admise à ce principe de limitation de la durée de conservation lorsque les traitements sont réalisés à des fins de recherche scientifique :

les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation)

On en déduit que les données peuvent être conservées au-delà de la durée qui a été nécessaire pour atteindre la finalité de recherche (par exemple, au-delà de la durée d’un projet de recherche déterminé) du moment qu’elles sont ensuite conservées uniquement pour être utilisées à des fins de recherche.

2) Articulation avec les traitements archivistiques

L’article 36 de la loi Informatiques et Libertés qui reprend cette dérogation est plus explicite, notamment parce qu’il précise le lien entre cette extension de la durée de conservation et le passage des documents contenant les données en archives définitives :

Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins archivistiques dans l’intérêt public, à des fins de cherche scientifique ou historique ou à des fins statistiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l’article L. 212-3 du code du patrimoine.

Pour mémoire, l’article L. 212-3 du code du patrimoine[7] prévoit ceci :

Lorsque les archives publiques comportent des données à caractère personnel collectées dans le cadre de traitements régis par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ces données font l’objet, à l’expiration de la durée prévue au 5° de l’article 6 de ladite loi, d’une sélection pour déterminer les données destinées à être conservées et celles, dépourvues d’utilité administrative ou d’intérêt scientifique, statistique ou historique, destinées à être éliminées.

Les catégories de données destinées à l’élimination ainsi que les conditions de cette élimination sont fixées par accord entre l’autorité qui a produit ou reçu ces données et l’administration des archives.

Il en résulte que les projets de recherche doivent bien prévoir une durée déterminée de conservation des données qu’ils collectent, en lien avec la finalité retenue. Mais une fois cette durée écoulée, les données peuvent être confiées à un service d’archives disposant de la compétence légale pour procéder à un passage des documents en archives définitives, après une opération de tri. Ce sont ensuite ces archives définitives, constituées à partir des matériaux de recherche, qui permettent une conservation au-delà de la durée initiale.

Dans le cadre des universités, ce sont – en principe – les archives départementales qui jouent ce rôle de réception des archives définitives, les services d’archives des universités ne pouvant traiter que des archives intermédiaires. Néanmoins, il est possible d’obtenir des archives départementales des dérogations pour être en mesure de conserver des données de recherche comme des archives définitives. C’est d’ailleurs une hypothèse d’autant plus probable que les archives départementales se concentrent en général sur les archives administratives des universités et n’ont pas encore de politique déterminée en matière de données de recherche.

IV Absence de dérogation au principe de minimisation

1) Soumission de la recherche au principe de minimisation

Si le principe de limitation impose de traiter des données collectées en se limitant à une finalité initialement déterminée, le principe de minimisation (nouveauté du RGPD) oblige de son côté à ne traiter que les données strictement nécessaires pour atteindre cette finalité.

De ce point de vue, les activités de recherche ne bénéficient d’aucune dérogation et le considérant 156 insiste même au contraire sur l’importance de respecter le principe de minimisation en matière de recherche pour respecter les droits des personnes :

Le traitement des données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données.

On verra plus loin (partie VI) que le RGPD admet que les activités de recherche puissent déroger dans une certaine mesure aux droits que les personnes peuvent faire jouer vis-à-vis des responsables de traitement, mais le texte insiste sur le fait que même dans ce cas, il convient de respecter strictement le principe de nécessité et de minimisation :

Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d’exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité.

On peut en déduire que le RGPD admet des dérogations aux droits des personnes en matière de recherche, mais uniquement à la condition que les chercheurs appliquent en amont de manière stricte le principe de minimisation (ne collecter que ce qui est nécessaire et seulement si c’est vraiment nécessaire).

2) Incitation à la pseudonymisation des données

Afin de mettre en œuvre le principe de minimisation, le RGPD encourage les chercheurs à recourir – autant que faire se peut – à la pseudonymisation des données (article 89[8]) :

Le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière.

Pour rappel, la pseudonymisation est définie de la sorte dans le RGPD (article 4[9]) :

le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

La pseudonymisation constitue une mesure de sécurisation promue par le RGPD, mais elle ne doit pas être confondue avec l’anonymisation (opération consistant à rendre impossible l’identification des personnes à partie des données). Les données pseudonymisées restent bien soumises à l’application du RGPD, à la différence des données anonymisées.

V Possibilité de traitement de données dites « sensibles »

1) Dérogation à l’interdiction du traitement des données sensibles

Le RGPD liste à son article 9[10] un ensemble de données dites « particulières » dont le traitement est par principe interdit :

Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

Néanmoins, l’article liste ensuite une série de 10 exceptions en vertu desquelles ces types de données peuvent faire l’objet de traitements, dont une concerne la recherche scientifique :

j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

On notera que cette exception est présentée comme distincte de celle basée sur le « consentement explicite des personnes » :

la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;

Il en résulte que l’exception figurant au j) permet le traitement de données dites « sensibles » à des fins de recherche sans le consentement des personnes concernées, à condition de mettre en œuvre des mesures pour la sauvegarde de leurs droits fondamentaux.

La loi Informatiques & Libertés reprend cette exception présentée comme suit à son article 8 :

11° Les traitements nécessaires à la recherche publique au sens de l’article L. 112-1 du code de la recherche, mis en œuvre dans les conditions prévues au 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, après avis motivé et publié de la Commission nationale de l’informatique et des libertés rendu selon les modalités prévues à l’article 28 de la présente loi.

On peut en conclure que le traitement des données dites sensibles à des fins de recherche nécessite encore de solliciter la CNIL pour avis, alors que ces formalités préalables ont été annulées par ailleurs par le RGPD et remplacées par des mesures d’accountability.

2) Cas particulier des recherches sur des données de santé

Les données de santé font l’objet d’une définition au considérant 35 du RGPD :

Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée.

Elles figurent aussi dans la liste des données « particulières » dont le traitement est en principe interdit. Néanmoins, le texte insiste aussi sur l’intérêt de pouvoir traiter des données de santé dans le cadre de la recherche (considérant 157) :

En combinant les informations issues des registres, les chercheurs peuvent acquérir de nouvelles connaissances d’un grand intérêt en ce qui concerne des problèmes médicaux très répandus tels que les maladies cardiovasculaires, le cancer et la dépression.

En pratique, la loi Informatiques & Libertés contient à son chapitre IX une série d’articles (61 à 65) relatifs au traitement des données de santé, notamment dans le cadre de la recherche scientifique. Ces dispositions mettent en œuvre les « garanties appropriées pour les droits et libertés de la personne concernée » exigées par le RGPD. Ce cadre existe depuis plusieurs années et la CNIL vient d’actualiser les formalités auxquelles doivent se soumettre les projets de recherche pour pouvoir traiter des données de santé[11], notamment un certain nombre de méthodologies de référence (MR-001 à MR-006).

Suivre ces méthodologies de référence dispense les chercheurs d’avoir à demander une autorisation à la CNIL, mais ils restent obligés de faire une déclaration préalable à l’autorité, alors que ces formalités ont été globalement supprimées par ailleurs avec l’entrée en vigueur du RGPD.

VI Dérogations aux droits des personnes

1) Pas d’activation en France de toutes les dérogations prévues par le RGPD

L’article 89[12] du RGPD prévoit que les Etats-membres peuvent activer des options au niveau de leur loi nationale afin de fixer en matière de recherche scientifiques des dérogations aux droits que les personnes peuvent faire valoir vis-à-vis des responsables de traitement :

Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union ou le droit d’un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

Les articles cités correspondent aux droits suivants : droit d’accès de la personne concernée (art. 15), droit de rectification (art. 16), droit à la limitation du traitement (art. 18), droit d’opposition (art. 21).

Or lorsque l’on regarde la manière dont la loi Informatiques & Libertés a été modifiée en juin dernier pour mise en conformité avec le RGPD, on constate que la France a choisi de ne pas activer ces options en matière de recherche.

L’article 70-7 indique que :

Les traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sont mis en œuvre dans les conditions prévues à l’article 36.

Et cet article 36 est rédigé comme suit :

Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l’article L. 212-3 du code du patrimoine.

Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public conformément à l’article L. 211-2 du code du patrimoine, les droits prévus aux articles 15, 16 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ne s’appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Il en résulte que la France a bien activé les dérogations aux droits des personnes en matière de traitement de données à des fins archivistiques, mais pas à des fins de recherche scientifique. Les personnes sont donc fondées à faire valoir les droits indiqués ci-dessus (accès, rectification, limitation, opposition) et les projets de recherche doivent donc s’organiser de manière à satisfaire les demandes qui leur seraient adressées en ce sens.

Ce choix restrictif de la France n’empêche pas que certaines dérogations existent pour d’autres droits des personnes, car elles figurent intrinsèquement dans le RGPD sous la forme d’exceptions prévues en faveur des activités de recherche.

2. Dérogation au droit d’information

Au titre des articles 13 et 14[13] du RGPD, les responsables de traitement sont tenus de procéder à une information préalable des personnes, lorsque la collecte des données se fait auprès d’eux sur la base du consentement ou auprès de tiers.

Lorsque les projets de recherche collectent eux-mêmes les données auprès des personnes en leur demandant leur consentement, ils ne peuvent déroger à cette obligation d’information des individus et doivent porter à leur connaissance les éléments suivants (condition impérative pour recueillir un consentement dit « éclairé ») :

a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b) le cas échéant, les coordonnées du délégué à la protection des données ;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et

f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

Néanmoins, lorsque la collecte des données se fait au contraire auprès de tiers, des dérogations au droit à l’information des personnes sont prévues. Or nous avons vu plus haut (partie II.2) que cette hypothèse risque de ne pas être marginale, attendu que les chercheurs sont en mesure de récupérer des données auprès de tiers les ayant collectées sur une base licite (puisque le changement de finalité à des fins de recherche scientifique est déclaré par le RGPD dans tous les cas compatible avec la finalité initiale de la collecte).

Dans cette hypothèse, les passages ci-dessous tirés de l’article 14 du RGPD[14] formulent en premier lieu une obligation d’information des personnes, puis une dérogation pour les projets de recherche qui n’a pas une portée absolue, mais dépend des circonstances :

  1. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

  2. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où :

la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

Cela signifie qu’en cas de récupération de données auprès de tiers pour conduire une recherche, il est possible de ne pas informer les personnes, si cet acte d’information s’avère impossible à réaliser ou exigerait des efforts disproportionnés. On peut imaginer par exemple que ce sera le cas si un trop grand nombre de personnes devaient être contactées sans que l’on dispose des informations nécessaires pour le faire.

Dans une telle hypothèse, des précautions particulières sont à prendre pour protéger les personnes et la fin du 5.b) implique notamment de respecter une obligation de transparence en informant publiquement des traitements réalisés.

3. Dérogations au droit à l’oubli et au droit d’opposition

Le droit à l’oubli ou droit à l’effacement est une nouveauté du RGPD qui permet aux individus d’exiger que les responsables de traitement suppriment des données les concernant sans avoir à apporter de justification. Néanmoins, des exceptions sont prévues par le texte, dont une est applicable à la recherche scientifique (article 17[15]) :

Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:

à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement;

Un responsable de traitement de données à des fins de recherche scientifique peut donc refuser de faire droit à une demande d’effacement, mais il ne s’agit pas d’une faculté discrétionnaire : il doit être en mesure de prouver que cette suppression empêche la recherche projetée ou la compromet gravement.

Il est assez improbable qu’anonymiser ou supprimer les données d’une seule personne au sein d’un panel compromette en soi un projet de recherche. Par contre, la répétition des demandes de suppression de la part d’individus différents peut finir par affaiblir la pertinence d’un jeu de données. Difficile cependant de savoir si des chercheurs pourraient refuser de faire droit à des demandes de suppression à partir d’une certaine quantité de données supprimées sur la base du droit à l’effacement ou si chaque demande doit être examinée en tant que telle, sans prendre en considération l’ensemble des données utilisée par la recherche.

Il existe aussi des mesures applicables au droit d’opposition, mais qui sont plus limitées encore (article 21[16]) :

Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.

Il n’y a pas de dérogation au droit d’opposition dans le cadre des activités de recherche, mais la personne qui en fait la demande doit la motiver en invoquant des raisons tenant à sa situation particulière. Il reste ensuite théoriquement possible pour les chercheurs de refuser de faire droit à ce type de demande d’opposition, mais uniquement si le traitement qu’ils réalisent est « nécessaire à l’exécution d’une mission d’intérêt public », ce qui sera vraisemblablement peu fréquent concernant les activités de recherche.

VII Dérogation prévue pour l’expression universitaire

1) Une possibilité ouverte par le RGPD…

Le RGPD prévoit à son considérant 153 une exception que les Etats membres de l’union peuvent mettre en place pour concilier la liberté d’expression et d’information et la protection des données personnelles :

Le droit des États membres devrait concilier les règles régissant la liberté d’expression et d’information, y compris l’expression journalistique, universitaire, artistique ou littéraire, et le droit à la protection des données à caractère personnel en vertu du présent règlement. Dans le cadre du traitement de données à caractère personnel uniquement à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire, il y a lieu de prévoir des dérogations ou des exemptions à certaines dispositions du présent règlement si cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et le droit à la liberté d’expression et d’information, consacré par l’article 11 de la Charte.

La formule « expression universitaire » ne fait pas l’objet de plus ample définition dans le texte, mais le recours au terme « expression » laisse penser qu’il s’agit de couvrir le fait que les chercheurs citent des noms de personnes ou des informations personnelles dans leurs publications[17], ainsi que des références d’autres publications dans leur bibliographie.

2) … mais non activée en France ?

La France a choisi d’implémenter cette exception dans son droit national, mais seulement de manière restrictive, comme on peut le lire à l’article 67 de la loi Informatique et Liberté de 1978[18] :

Le 5° de l’article 6, les articles 8, 9, 32, et 39, le I de l’article 40 et les articles 68 à 70 ne s’appliquent pas aux traitements de données à caractère personnel mis en oeuvre aux seules fins :

1° D’expression littéraire et artistique ;

2° D’exercice, à titre professionnel, de l’activité de journaliste, dans le respect des règles déontologiques de cette profession.

On constate que l’article couvre les traitements réalisés à des fins d’expression littéraire et artistique ou d’exercice de l’activité de journaliste, mais pas « l’expression universitaire », alors même que cet usage fait l’objet d’une mention distincte dans le RGPD. Il en résulte une lacune que le législateur aurait pu combler à l’occasion de la mise en conformité de la loi Informatique et Libertés en juin dernier, mais il a vraisemblablement omis de le faire.

Néanmoins, le RGPD spécifiant que les États « devraient » prévoir des dispositions pour concilier la liberté d’expression et la protection des données personnelles laisse penser que les usages liés à l’expression universitaire sont bien couverts, en dépit du silence de la loi française.

[1] https://www.cnil.fr/fr/reglement-europeen-protection-donnees

[2] https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee

[3] https://siafdroit.hypotheses.org/792

[4] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5

[5] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article13

[6] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5

[7] https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006074236&idArticle=LEGIARTI000006845568&dateTexte=&categorieLien=cid

[8] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre9#Article89

[9] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

[10] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9

[11] https://www.cnil.fr/fr/recherches-dans-le-domaine-de-la-sante-la-cnil-adopte-de-nouvelles-mesures-de-simplification

[12] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre9#Article89

[13] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article13

[14] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article14

[15] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17

[16] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article21

[17] A noter que ce droit existe, mais qu’il est assez strictement encadré, notamment par les délais de communication et de réutilisation des informations contenus dans des documents d’archives qui font l’objet de restrictions et nécessitent l’obtention de dérogations par les chercheurs accordées (ou non) par les services d’archives publiques pour protéger la vie privée des personnes.

[18] https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee