En 2011, la CNIL publiait un cahier intitulé « Vie privée à l’horizon 2020 » qui sollicitait les paroles d’une trentaine d’experts autour de réflexions prospectives. La reconnaissance faciale, le risque d’accaparement des données personnelles des internautes, le rôle des réseaux sociaux et la nouvelle organisation du travail qui en découlerait… Autant de sujets évoqués qui ont confirmé leur prépondérance dans la décennie qui vient de s’achever. Et puisqu’une nouvelle s’ouvre, Médias-Cité a voulu récolter la vision éclairée de cette institution et lui demander : quelles perspectives s’offrent à nous à l’horizon 2030 ? Régis Chatellier, chargé d’études prospectives à la CNIL, nous a répondu.
—
Avant toute chose, pourriez-vous nous rappeler ce qu’est la CNIL et ce qui a déclenché sa création ?
R.C : La CNIL est née en réaction à la publication d’une tribune parue dans Le Monde en 1974. Cette tribune s’émeut du projet SAFARI qui prévoit de créer un fichier d’État compilant les données de tous les français… Cela a donné lieu à une réflexion qui aboutit à la loi de 1978 sur l’informatique et les libertés, et à la création de la CNIL. C’est une autorité indépendante, qui a un rôle de régulateur et de garant de la protection des données personnelles. Ces réflexions se sont développées dans toute l’Europe et aboutirent en 2018 au règlement RGPD, devenu obligatoire pour tous les acteurs du numérique (privés comme publics). C’est un socle juridique, né d’un système de collaboration à l’échelle européenne.
La grande question pour la CNIL en 2011, quand elle publie le cahier IP « Horizon 2020 » est celle de la gestion et de la gouvernance des données personnelles. C’est toujours votre préoccupation majeure ?
R.C : La question de la protection des données personnelles et des libertés est constitutive de l’ADN de la CNIL, donc elle sera toujours notre angle central. On garde présent à l’esprit l’Article 1 de la loi de 1978 qui dit « L’informatique doit être au service de chaque citoyen (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » Ce qui nous intéresse, ce sont les nouveaux usages qui apparaissent. Nous arrivons à un seuil dans la collecte des données qui amène à une nouvelle forme d’économie. Une économie à la demande.
Justement, quelles technologies ou quels usages vont profondément transformer nos quotidiens, notre organisation du travail ou encore nos vies sociales, dans les dix prochaines années ?
R.C : La collecte des données dans le monde du travail pose question. Dans cette économie à la demande, les travailleurs sont moins protégés par le salariat, ils sont dits indépendants mais dépendent d’applications pour pouvoir travailler. Le fait de collecter les données de géolocalisation ou de satisfaction des clients met en place une forme de management par l’algorithme. Tout l’enjeu est de voir comment c’est en train d’être régulé et comment nous devons l’aborder pour l’avenir. La CNIL a tout son rôle à jouer sur ces enjeux.
Donc l’ubérisation du travail préoccupe la CNIL et rentre dans son champ d’actions ?
R.C : Pour ce type de travail, oui. Car c’est par l’interface et l’utilisation d’applications sur le smartphone que les personnes obtiennent ou non du travail, sur la base des données qui sont collectées. Il apparaît aussi un phénomène qui n’existait pas auparavant : celui de la notation par les pairs. Par exemple, la note attribuée par les clients à un chauffeur Uber aura une incidence directe sur son travail et sa rétribution. Désormais, on retrouve ça dans d’autres secteurs de service. Une société de la notation où on est en permanence sous un regard évaluateur, une société transformée en données, lesquelles feront qu’on sera plus ou moins rétribué, voire conservé dans l’entreprise ou pas, pose questions. Il existe des chauffeurs Uber notés trop bas qui ont été éjectés de la plateforme et ne pouvaient plus travailler…
Diriez-vous que nous allons vers une société de la délation ?
R.C : Non. C’est une forme de pouvoir donné à ces clients sans qu’ils en aient conscience. Les personnes qui notent ne le font pas avec une mauvaise intention pour la plupart. Des clients peuvent donner un 3/5 sans réaliser que c’est une mauvaise note. Mais cela génère quand même de la donnée sur la personne. Si on a compris le système, on va noter en conséquence, mais sinon, on va sur-noter ou sous-noter sans le savoir. Ça interroge sur la responsabilité des acteurs qui mettent en place ces systèmes.
Peut-on réguler ou empêcher les acteurs de mettre en place ces systèmes de notation ?
R.C : C’est un des grands enjeux de la régulation. Le cadre RGPD peut intervenir sur toute la partie protection des données, mais il y a aussi la régulation du travail et de tous ces outils numériques qui n’est pas le seul fait de la CNIL.
Pourra-t-on échapper à la reconnaissance faciale généralisée d’ici 2030 ?
R.C : Aujourd’hui, on est à la croisée des chemins car ces technologies sont encore très perfectibles et il y a une prise de conscience les concernant. La CNIL s’est positionnée en octobre dernier sur ces usages, contre la tentation d’y avoir recours par soucis de confort ou de sécurité (comme en Chine où l’on utilise son visage pour un payer ou prendre les transports). Il est important de faire des choix car ils auront des effets sur ces dix prochaines années.
Le risque serait de tout ouvrir, de permettre un maximum de ces usages. La CNIL a bien précisé qu’il s’agit là de choix de société. Ces technologies pourraient mettre en péril nos libertés, notamment d’aller et venir dans l’espace public de manière anonyme. La reconnaissance faciale se base sur la forme du visage qui est propre à chacun, et qui, à l’inverse d’un mot de passe, ne peut être changée. Si nous commençons à agréger des bases de données biométriques des visages des personnes, nous produirons des données réutilisables qui comportent un risque pour ces dernières. Si on n’y prête pas attention aujourd’hui, on met en péril les libertés individuelles d’ici à dix ans, voire moins… Notez d’ailleurs que dans les zones du monde où on est le plus au fait de ces technologies, c’est là où on est le plus méfiant. San Francisco a posé un moratoire sur l’utilisation de la reconnaissance faciale. Donc ce n’est pas un discours technophobe mais l’expression d’une maturité sur ces sujets. Il est important que l’ensemble de la société se saisisse de ces questions.
Selon vous, en 2030, la frugalité numérique aura-t-elle réussi à convaincre ? Aurons-nous une utilisation plus éco-responsable du numérique ?
R.C : Ce serait souhaitable. Le numérique n’est que réseaux physiques, consommateurs d’énergie et d’électricité. Les acteurs commencent à prendre en compte ces éléments et c’est là où les cadres européens de la protection des données posent les bons principes à mettre en œuvre : ne collecter et ne traiter QUE les données nécessaires à produire un service. Cette base permettrait de sortir du tout Big Data et arriver à une maturité des usages.
On voit arriver de nouveaux modèles fondés sur l’IA comme le federated learning, qui permet de faire des calculs en local sur son smartphone ou son ordinateur, et ne faire remonter que quelques données. C’est une forme décentralisée, en opposition au fonctionnement actuel qui fait que quand vous demandez à votre assistant connecté d’éteindre la lumière, il va envoyer l’information aux EU, sur un data center, qui lui-même va produire une réponse, pour finalement éteindre la lampe chez vous…. Nous allons être de plus en plus capables de produire de manière décentralisée, sans faire circuler la donnée sur des milliers de kilomètres, la stocker en masse et avoir recours à beaucoup d’électricité. Nous revenons ainsi à la base d’Internet, qui est un réseau décentralisé. C’est une des raisons pour rester positifs.
Propos recueillis par Nathalie Troquereau
Pour aller plus loin :