S'appuyer sur les racines de la protection des données et de la vie privée
Par Martin Abrams
En décembre 2015, le Contrôleur européen de la protection des données, Giovanni Buttarelli, a publié un avis suggérant que nous devions réinventer la protection des données à l'ère du big data, non pas pour faire des compromis sur les principes, mais plutôt pour s'assurer que le big data est utilisé au service des personnes.
La protection de la vie privée et la protection des données ont toujours été différentes, mais liées par des besoins humains communs. La vie privée est un espace où chacun et son cercle intime sont à l'abri du regard et du jugement d'autrui. Il s'agit de concepts d'intimité physique étendus.
L'ouvrage novateur d'Alan Westin, Privacy and Freedom, a établi la nécessité, dans toutes les cultures, de disposer d'un espace où l'on peut faire des bêtises, penser différemment et exprimer des comportements qui s'écartent des normes. Cet espace privé n'a jamais été parfait - il y a toujours eu des voyeurs et des commères. En droit européen, cela se traduit par le droit fondamental à l'autonomie et à la vie familiale.
La protection des données, quant à elle, a toujours porté sur l'utilisation judicieuse des données transformées en informations pour répondre aux besoins des individus et/ou d'une communauté. Comme l'a expliqué Peter Hustinx dans son article de 2014, la protection des données va au-delà de la vie privée et couvre l'ensemble des droits fondamentaux affectés par le traitement de l'information. La protection des données est essentiellement un contrôle du pouvoir inapproprié qui peut se produire lorsque des organisations détiennent et traitent des données.
La nécessité de protéger les données remonte à la création des archives historiques - l'invention de l'écriture dans l'ancienne Sumer. La technologie de la collecte, de l'agrégation et de la manipulation de l'information a rapidement été détenue par les puissants. Les scribes de l'ancienne Sumer travaillaient pour les puissants. Les données qu'ils créaient étaient utilisées par les responsables pour conserver le pouvoir.
Pourtant, la technologie ne favorise personne au fil du temps. La technologie peut ébranler les puissants. L'écriture peut être utilisée pour diffuser de nouvelles idées et regrouper des intérêts. L'utilisation des technologies de l'information peut servir à créer de nouveaux marchés et à déplacer les marchés établis. Et ce rythme de création et de destruction économiques s'est accéléré.
Considérons maintenant l'évolution du droit relatif à la protection de la vie privée.
La Magna Carta, qui est à la base du système juridique du monde anglo-saxon, définit l'espace où les gens peuvent s'attendre à la solitude. La maison d'un individu est son château. Il contrôle l'accès à son domicile et aux documents qu'il contient. Les documents sont une extension de cet espace. Le comportement qui a lieu dans cette maison n'est observable qu'à l'invitation du propriétaire.
Ce qu'une personne fait dans un espace public et avec d'autres personnes peut être observé. Ils pouvaient être enregistrés par d'autres individus qui y participaient ou par d'autres personnes présentes dans l'espace public commun. Il y a toujours eu des normes sociétales et même des lois pour couvrir l'utilisation et le partage de ces observations.
La Seconde Guerre mondiale nous a apporté l'invention de l'ordinateur. Dans les années 1960, il était clair que nous devions aller au-delà de la Magna Carta. Les travaux d'érudition des années soixante ont débouché sur l'élaboration de lois relatives à la protection de la vie privée et des données dans les années soixante-dix, qui ont à leur tour débouché sur les lignes directrices de l'OCDE en matière de protection de la vie privée.
Le concept clé était alors que les données venaient de moi et qu'il devait y avoir un transfert de ces données de moi à d'autres sur la base d'une délimitation claire des règles relatives à ces données. La nature de l'utilisation n'était pas en cause. C'est le transfert du contrôle des données qui l'est.
Cependant, il a également été reconnu que la production de données impliquait souvent plus d'une partie. Il y avait aussi les archives publiques, qui avaient toujours existé, mais qui étaient désormais beaucoup plus visibles car elles étaient passées des sous-sols poussiéreux aux ordinateurs centraux. Les lois américaines ont donc commencé à couvrir l'utilisation équitable de données telles que les données d'évaluation du crédit. Il s'agissait moins de contrôle que d'application équitable par les prêteurs et les employeurs en position de force. Le concept d'utilisation appropriée a été repris dans le droit européen et a été à l'origine de la base juridique du traitement.
Considérons maintenant l'évolution des technologies et leur impact sur la vie privée et la protection des données. Il a fallu des milliers d'années pour passer de l'invention de l'écriture à la presse à imprimer. Et quelques centaines d'années pour passer de la presse à imprimer aux appareils photo. Ensuite, il y a eu les machines à trier les cartes, puis les ordinateurs centraux. Les années 1970 ont apporté les technologies des bases de données. Les années 1980 ont marqué une accélération des technologies avec le traitement distribué et l'analyse statistique de vastes ensembles de données. Le début des années 1990 a été dominé par une baisse des coûts de communication et de traitement, suivie de l'Internet grand public et de la véritable naissance d'un monde d'observation. L'an 2000 a apporté le traitement avec des modules communs (le produit du passage à l'an 2000). Les coûts de traitement et de communication ont continué à baisser, laissant la place aux agendas électroniques et finalement aux téléphones intelligents. Le big data a suivi avec l'internet de tout. Les technologies de l'information se sont accélérées, passant de millénaires entre les grands changements à des décennies, des années et, semble-t-il, des minutes.
La technologie n'est pas la seule à avoir évolué, la nature du pouvoir a également changé. En 2000, le renseignement national concernait les États-nations. En 2001, il s'agissait de pouvoirs décentralisés. Les menaces ne concernaient plus seulement les espions, mais plutôt les fabricants de bombes qui prenaient des cours sur l'internet.
La protection de la vie privée et des données devient alors très compliquée. Les concepts simples contenus dans la loi de 1972 ne permettent pas de relever tous les défis de la gouvernance en 2016.
Ce qui ne change pas, ce sont certains besoins humains essentiels :
- Nous avons besoin de vie privée pour disposer d'un espace où nous pouvons être imparfaits ou parfaits sans que d'autres ne le voient, ne l'entendent et/ou ne le sachent.
- Nous devons veiller à ce que la réflexion sur les données serve les besoins des personnes et ne soit pas un moyen de renforcer le pouvoir de ceux qui dominent.
- Nous avons besoin d'informations pour assurer notre sécurité, pour rendre le marché plus compétitif, pour améliorer les soins de santé et l'éducation, et pour offrir davantage d'opportunités.
- Nous ne voulons pas souffrir de l'utilisation abusive d'informations ou d'idées arrogantes.
- Nous ne voulons pas que notre avenir soit prédestiné par des prédictions.
Nous avons besoin de protection de la vie privée pour avoir l'espace nécessaire pour être nous-mêmes, alors que les technologies continuent d'étendre le domaine public commun et facilitent considérablement l'utilisation des données. En outre, l'utilisation des données et de leur traitement pour répondre à nos besoins signifie la découverte de nouvelles idées pour améliorer les soins de santé, l'éducation, la participation économique et même le shopping. Pour répondre aux besoins des individus et des communautés, nous devons penser avec des données. Penser avec des données, c'est l'analyse moderne.
Une grande partie de la fonctionnalité de la loi dépendait de l'extension des données comme quelque chose d'apparenté à notre être physique. Pourtant, le flux technologique a élargi l'observation au-delà de la protection du château. Lorsque j'utilise mon vêtement connecté à mon téléphone intelligent, même dans mon château, je ne bénéficie pas des protections associées aux murs du château.
Cependant, aller au-devant de l'innovation revient à essayer d'arrêter une avalanche avec une pelle. Canaliser l'application de l'innovation, c'est assurer la civilité.
Alors, comment réinventer la protection des données, comme le suggère le CEPD ? Qui doit jouer un rôle actif ? Quels doivent être ces rôles ? Comment le faire avec une sensibilité interculturelle ? Réinventer la protection des données signifie réinventer les rôles des utilisateurs de données, des régulateurs et des gens ordinaires.
Commençons par les utilisateurs de données. À partir de là, le concept de responsabilité s'élargit. L'objectif d'être un gardien responsable et redevable ne change pas, mais les aspects de cette responsabilité deviennent beaucoup plus holistiques. C'est particulièrement vrai lorsque les données sont utilisées au-delà des attentes de personnes raisonnables.
Les "big data" sont une excellente métaphore à cet égard. Par conséquent, de par sa nature même, le big data est une réaffectation des données - même si le big data est mentionné comme objectif dans une déclaration de confidentialité.
Tout d'abord, nous devons segmenter le big data en deux phases. Ce concept d'une approche en deux phases du big data a été exploré dans un article rédigé par Paula Bruening, Meg Leta Jones et moi-même en 2013[1] La première phase est celle de la découverte et consiste à réfléchir à partir des données. La deuxième phase est celle de l'application et consiste à agir avec les connaissances issues de la réflexion sur les données. Les risques pour les individus sont différents dans ces deux phases.
Une fois que l'on sait si l'on réfléchit ou si l'on agit, il faut comprendre les raisons du traitement. Quel est le problème que l'on essaie de résoudre ? En comprenant le problème, on peut commencer à comprendre les défis liés à l'utilisation des données pour résoudre ce problème.
Deuxièmement, nous devons comprendre les mécanismes de traitement des données que nous utilisons. À bien des égards, cela correspond aux questions de précision clairement énoncées dans les lignes directrices de l'OCDE. La taille et la diversité des ensembles de données ne résolvent pas les problèmes d'exactitude, comme certains le suggèrent, mais rendent plus complexe la détermination de l'impact de l'exactitude des données sur la crédibilité des solutions. La légalité et la moralité des données entrent en jeu. Certaines données sont interdites par la loi, d'autres par un contrat ou une promesse, et d'autres encore ne sont tout simplement pas appropriées.
Troisièmement, il faut bien comprendre l'algèbre linéaire associée à l'examen des avantages et des risques. Qui bénéficie des avantages, qui court les risques ? S'il existe un décalage entre le porteur du risque et le bénéficiaire des avantages, il est peu probable que le traitement soit équilibré. Ces questions sont examinées dans "The Unified Ethical Frame for Big Data"[2] La protection des données a toujours nécessité la compréhension de l'ensemble des risques pour les droits et libertés fondamentaux, et le cadre éthique unifié explore la manière dont on peut équilibrer ces questions. En fin de compte, il s'agit simplement de déterminer si le traitement des données est légal, équitable et juste. Si ce n'est pas le cas, le traitement doit être révisé pour qu'il le soit.
Quatrièmement, les contrôles et les contrepoids pour les utilisateurs des données sont importants. Les responsables du traitement doivent être prêts à démontrer que leurs évaluations sont menées avec intégrité. Le fait d'être prêt à faire cette démonstration permet de démontrer à un agent de contrôle qu'il s'agit d'un processus sain. Pour créer un véritable équilibre des pouvoirs et garantir la participation des individus, les utilisateurs de données doivent éduquer le public sur la manière dont les données sont utilisées au-delà des attentes des individus. L'éducation crée les moyens d'une participation individuelle, un élément essentiel de la responsabilité.
En ce qui concerne le rôle de l'agent chargé de faire respecter la vie privée, les régulateurs ont besoin de nouvelles compétences. Ils doivent être en mesure de poser les questions actives qui permettent de déterminer si la découverte et l'application répondent aux critères de légalité, d'équité et de justice. Cela signifie que les régulateurs doivent avoir la volonté et la capacité de faire la différence entre les deux. Pour jouer leur rôle efficacement, les régulateurs doivent avoir l'autorité nécessaire pour effectuer des contrôles ponctuels du traitement.
Ensuite, il y a le rôle que jouent les gens. Au début des années 70, lorsque les données et les systèmes étaient identiques, on attendait des citoyens qu'ils jouent un rôle actif dans la gestion des données par les choix qu'ils faisaient. Dans ce scénario, le soleil résolvait de nombreux problèmes. Aujourd'hui, le soleil ne suffit plus. Le traitement, même bien expliqué, peut dépasser la capacité des gens à le gérer. Cependant, les gens peuvent agir en tant que communauté d'une manière que nous n'avons jamais vue auparavant. Comme indiqué plus haut, cela dépend beaucoup de la qualité des documents explicatifs fournis par les utilisateurs de données. Mon collègue Peter Cullen étudie le rôle des personnes dans le cadre du projet de gouvernance holistique qu'il dirige à l'IAF.
Pour conclure, je dirais donc qu'en tant que praticiens, nous devons comprendre la différence entre le respect de la vie privée et la protection des données. Les deux côtés de la médaille juridique et de la gouvernance sont importants, mais en les différenciant, nous nous rapprochons de solutions efficaces qui répondent aux besoins de la société. En outre, nous ne pouvons plus compter sur les individus pour assurer la police du marché par le biais de la lecture des avis et du consentement. La nature du traitement est devenue très complexe. Pourtant, le système ne peut pas se transformer en un système où l'utilisateur des données est le seul arbitre pour déterminer quel traitement est approprié et lequel ne l'est pas. L'utilisateur de données en tant que père est un paternalisme qui va au-delà de l'équité et de la justice. Cela signifie que les personnes, en tant qu'individus ou en tant que groupe, doivent avoir un rôle significatif dans la définition de normes pour le traitement des données au-delà des attentes. Enfin, les régulateurs doivent eux aussi faire la différence entre les questions liées à l'autonomie et celles liées à l'utilisation juste et équitable des données, afin de favoriser une meilleure connaissance et une meilleure application des solutions basées sur les données.
[Ce blog est basé sur une conférence donnée au Commissariat à l'information et à la protection de la vie privée, le 3 février 2016.]
Abrams est directeur exécutif et stratège en chef de l'Information Accountability Foundation, une organisation de recherche et d'éducation à but non lucratif.
[1] The Centre for Information Policy Leadership (2013), "Big Data and Analytics : Seeking Foundations for Effective Privacy Guidance", www.hunton.com/files/Uploads/Documents/News_files/Big_Data_and_Analytics_February_2013.pdf.
[2] The Information Accountability Foundation (2014), "A Unified Ethical Frame for Big Data Analysis", http://informationaccountability.org/wp-content/uploads/IAF-Unified-Ethical-Frame.pdf.