Keynote tenue lors du B2B Kite Summit 2019 à Dakhla
A votre avis ? Combien avez-vous d’applications chargées dans votre smartphone ?
Même approximativement ? 30, 50, 100, 150 ?
Et qui parmi nous a lu les conditions générales des applications qu’il utilise, afin de savoir ce qui est fait des données personnelles que nous laissons derrière nous ?
Sont-elles partagées avec d’autres applications, pour quelles finalités ? Sont-elles stockées en France, en Europe, aux USA, en Chine, en Russie ? Qui travaille avec (sous-traitants, prestataires, responsable du traitement, DPO …).
Peut-être allons-nous répondre que cela ne nous intéresse pas, que nous acceptons de ne pas savoir ce qui est fait avec NOS données à caractère personnel, que nous faisons ce que NOUS voulons, et que de toute façon nous n’avons rien à cacher, que notre consentement est ainsi implicite.
OK. Mais dans nos entreprises ?
Dans nos entreprises, savons-nous combien sont utilisés de logiciels ?
Savons nous dire quelles données nous détenons sur nos salariés, sur nos prospects, nos clients, nos partenaires et s’agit’il de données sensibles ?
Savons nous dire ce que nos entreprises et leurs prestataires font avec ces données ? Quelle en est la durée de conservation ?
Là c’est différent, car ce ne sont plus NOS données mais celles de nos salariés, nos prospects, nos clients ou nos partenaires.
Et même si tout va bien avec ces gens-là, un jour, ils viendront nous demander, à nous, chefs d’entreprises, de rendre des comptes sur ce que nous faisons avec leurs données personnelles.
Les mêmes personnes qui se fichent complètement des applis qui sont sur leur smartphone et des traces numériques qu’elles laissent sur les réseaux sociaux, trouveront inacceptable que nos entreprises puissent porter atteinte à leurs données personnelles, à leur vie privée, à leur privacy.
Un monde de Big Data et d’IA
Nous vivons dans un monde où le progrès dépend de l’accumulation de données. C’est le monde du big data et de l’intelligence artificielle.
Le big data, c’est le fait que désormais, la captation, le transfert, le stockage et le traitement des données personnelles n’ont quasiment plus de limite.
Les données, collectées et traitées, sont considérées comme une ressource naturelle indispensable qui permet d’augmenter la puissance des algorithmes.
Ces algorithmes, lorsqu’ils sont utilisés dans des situations proches de nos activités humaines, sont appelés « intelligences artificielles » :
Ces intelligences artificielles nous permettent par exemple :
- de trouver le chemin le plus rapide pour aller d’un point A à un point B, en anticipant les embouteillages et en réagissant immédiatement aux accidents de la circulation
- de dialoguer avec une machine pour avoir un service client rapide et efficace
- de nous aider à prendre des décisions, voir à prendre des décisions à notre place
- Et même d’identifier grâce aux algorithmes de reconnaissance faciale chaque vache dans un troupeau de plusieurs milliers de têtes. C’est par exemple ce que propose la licorne chinoise SenseTime (levées de fonds total = 2,2 milliards de $).
Oui, mais ces intelligences artificielles permettent aussi :
- D’influencer des dizaines de millions de citoyens sur leurs achats, leurs modes de vie, leurs choix politiques
- D’identifier avec les mêmes algorithmes de reconnaissance faciale les clients réguliers dans un magasin, les déplacements de chaque individu dans un espace public, et même les intentions de chaque individu en fonction de son comportement dans un lieu public
Un tel traitement de données à caractère personnel peut avoir des conséquence majeures (et néfastes) sur la sécurité de la vie privée de la personne concernée (personne physique).
Vers un futur à la « Black Mirror » ?
Vous souvenez vous de l’épisode « Chute Libre » de la série Black Mirror, le 1er de la saison 3 ?
A l’époque il s’agissait d’un épisode de science fiction, diffusé pour la première fois sur Netflix le 21 octobre 2016, il y a à peine 3 ans.
Je reprends rapidement l’histoire : elle se déroule dans un monde où chaque personne note les autres de 0 à 5, les mieux notés ayant accès à de meilleurs services.
Lacie, une jeune américaine souhaite obtenir la maison de ses rêves dans un quartier résidentiel très chic et très select. Pour cela, elle doit justifier d’une note de crédit social de 4.5/5, qu’elle a presque atteint puisque sa note est de 4.2/5.
Pendant qu’elle cherche à obtenir ces 3 10ème de point qui lui manque, une succession d’incidents la font en réalité chuter jusqu’à devenir une véritable clocharde sur l’échelle du crédit social digital.
Terrifiant, n’est-ce pas ?
Et d’autant plus terrifiant que la dystopie de cet épisode de Black Mirror n’est pas très éloignée de la réalité en Chine.
Vous connaissez tous le système de « crédit social » développé par le gouvernement chinois, qui évalue le quotidien de ses propres citoyens afin de récompenser les « bons » sujets de l’Empire du Milieu, mais surtout d’octroyer des sanctions aux « mauvais ».
Il est ainsi possible de devenir un mauvais citoyen, un citoyen « discrédité », en raison d’opinions politiques dissidentes, de non-paiement d’impôts ou d’amendes, de diffusion de « fausses informations », mais aussi de promenade d’un chien sans laisse ou d’utilisation de place réservée dans les transports en commun.
Les citoyens « discrédités » sont inscrits sur la liste noire du parti communiste, et ne peuvent plus contracter un prêt bancaire ou acheter un appartement.
Depuis mai 2018, les chinois mal notés dans le système ne peuvent plus acheter des billets de train ou d’avion, et ce pour une période d’un an. Selon le rapport du Centre national d’information sur le crédit, la Chine a empêché l’année dernière 17,5 millions de citoyens « discrédités » d’acheter des billets d’avion et 5,5 millions d’acheter des billets de train. 23 millions !
En chine toujours, Alibaba a développé le City Brain dans la ville de Hangzhou (6 millions d’habitants).
Les embouteillages ont été réduits de 11%, le nettoyage des rues a été amélioré, l’attribution des places de parking a été optimisée et le contrôle de la qualité de l’air a été renforcé.
A côté de Alibaba qui gère la ville autonome, Baidu gère les véhicules autonomes, Tencent gère l’e-medecine et iFlyteck gère la reconnaissance vocale.
Fort de ce succès, Alibaba s’apprête à déployer City Brain dans 15 autres villes ainsi qu’en Malaisie.
Le City Brain utilise les données des autorités publiques et conçoit en retour des services pour les usagers : c’est un échange de bons procédés entre l’Etat, les BATX (les GAFAM chinois) et les citoyens.
Mais attention, City Brain peut savoir en quelques millisecondes qui vous êtes, ou vous êtes, ce que vous faites, qui vous avez rencontré dernièrement et même ce que vous allez faire, grâce au développement de l’IA prédictif.
Demain, tous les services publiques ou centralisés, permettant de disposer de l’eau, de l’électricité, du réseau 5G, des services médicaux ou d’enseignement seront connecté et liés aux données provenant de City Brain, renforcé par le programme de « Crédit social ».
En conséquence, pour accéder aux services minimums, les citoyens aurons l’obligation d’être connectés (terminé le « pour vivre heureux vivons caché »).
La condition de développement de ces technologies est simple : le renoncement à l’intimité. Il faut que chacun soit disposé à voir et à être vu.
Cette réalité chinoise va elle devenir une réalité planétaire ?
Autres modèles dans le monde : L’exemple des Smart Cities
Outres Atlantique, au Canada, le 1er Ministre Justin Trudeau a signé en 2017 avec l’entreprise Sidewalk Labs, filiale de Google, un projet de ville connectée à Toronto, dans le quartier de Quayside.
La promesse pour la population est une ville futuriste ou seraient réglés les problèmes d’embouteillage, de sécurité et de pollution.
C’est donc un projet national, lancé par un 1er Ministre capable de comprendre tous les enjeux, qui vise à apporter confort et sécurité aux citoyens.
Et pourtant, ce projet ne verra probablement pas le jour tel qu’il avait été initialement prévu.
Il va devoir être repensé, revalidé, mieux encadré, avec plus de garde-fous.
Pourquoi ?
Parce qu’il fait l’objet d’une résistance très importante de la part des citoyens, des groupes de pression et de divers mouvements politiques.
Les citoyens, les groupes de pression et les mouvements politiques savent parfaitement qu’au-delà des promesses et des maquettes 3D, la réalité est celle-là :
Cette résistance est positive ! Il ne s’agit pas lutter contre le progrès et le développement du big data et de l’IA.
Il s’agit au Canada et autour de ce projet de pouvoir continuer à poser des questions fondamentales telles que :
Comment seront stockées, partagées et exploitées les données personnelles provenant des énormes quantités de capteurs et de cameras ?
Les individus auront-ils la possibilité de refuser de laisser des traces numériques de leurs déplacements et de leurs modes de vie ?
Quelle rentabilité Google va il tirer de ce projet et quelles sont ses intentions d’expansion ?
Reste-il une place pour la vie privée des citoyens ?
Au-delà de cet exemple canadien, nous pouvons observer une évolution majeure de nos sociétés en matière de protection de la vie privée.
Violations, abus et sanctions
L’affaire Cambridge Analytica en 2016 a permis de prendre conscience que les informations communiquées à Facebook peuvent être utilisées pour orienter l’attention des internautes et donc tenter d’orienter leurs choix politiques.
En Allemagne, cette prise de conscience a entraîné l’interdiction à la vente du produit pourtant élu par les consommateurs « jouet de l’année ».
« Mon amie CAYLA », la poupée qui communique avec l’enfant, et avec l’application qui lui est attachée et qui permet à n’importe qui de s’y connecter avec un simple téléphone.
De manière beaucoup plus structurante, il y a l’arrivée du RGPD, le fameux Règlement Général sur la Protection des Données Personnelles Européen.
Le RGPD c’est un nouveau cadre juridique et technique pour la protection des données à caractère personnel.
Et c’est l’Europe qui, à travers son Règlement Européen, a clairement réussi à l’imposer à l’ensemble de la planète. Sans oublier la France qui est une véritable pionnière en la matière, notamment avec la loi Informatique et Libertés de 1978.
Le RGDP c’est comme le code de la route : on pouvait s’en passer il y a 1 siècle.
Mais aujourd’hui, il est impossible d’imaginer qu’il n’y ait pas un code de la route, et que ce code de la route ne soit pas quasiment le même d’un pays à l’autre.
Il y a des règles communément admises et respectées, des panneaux de signalisation, des avertisseurs et des sanctions. Au bénéfice d’une meilleure fluidité du trafic, et de notre sécurité.
Et les constructeurs participent à ce code de la toute puisqu’ils ont progressivement ajouté aux automobiles des clignotants, des rétroviseurs, des ceintures de sécurité …
Cette révolution réglementaire européenne a entraîné des changements majeurs de réglementations pour s’ajuster au RGPD : Californie, Japon, Brésil, …
En matière de sanctions, il ne se passe plus un trimestre dans le monde sans que Facebook ne fasse l’objet d’une amende de plusieurs millions.
En France, la CNIL a sanctionné Google à 50 millions d’euros d’amende.
Et chaque entreprise, quelle que soit sa taille et son domaine d’activité est susceptible de faire l’objet d’une sanction lourde, en termes de montant, d’image ou de valorisation.
Prenons 3 exemples d’entreprises sanctionnées depuis moins d’un an :
Hôpital de Barreiro : 400.000 euros
Sergic : 400.000 euros
Active Assurance : 180.000 euros
Chacune de ces entreprises a été sanctionnée car elle a porté atteinte à la sécurité des données personnelles de centaines de milliers de citoyens.
Et peut-être d’ailleurs faisons-nous partie de ces citoyens.
Peut-être, vous ou quelqu’un de votre famille a-t-il été hospitalisé dans l’hôpital de Barreiro, près de Lisbonne, ou a-t-il communiqué à Sergic des informations personnelles afin de trouver une location, ou à Active Assurance pour bénéficier d’une assurance auto moins chère.
Serions-nous content d’apprendre que pour nous ou nos proches, les données médicales, les contrats de travail, les feuilles de paie, les identifiants bancaires, les livrets de familles … sont stocké et rendues accessibles sans aucune raison, sans limite de temps, sans sécurité ?
N’est-il pas important pour nous de savoir que ce type d’information doit faire l’objet d’une certaine protection, que notre vie privée doit rester privée, que nos données personnelles doivent restées personnelles ?
Alors je reviens à ma question du début : sommes-nous prêts à laisser Facebook, Waze, Instagram et FaceApp exploiter librement nos données personnelles. Oui ? Ok !
Mais dans le même temps, trouvons-nous acceptable qu’une agence immobilière, une compagnie d’assurance ou un hôpital puissent conserver, partager ou rendre accessible nos données les plus confidentielles. Non ? C’est bien naturel !
En réalité, nous avons tous en nous une part de vie publique et une part de vie privée.
Il y a des moments où nous sommes Don Diego de la Vega, homme public entouré de sa famille et des notables de Californie, qui aime se montrer dans l’intimité luxueuse de son hacienda.
Et il y a des moments où nous sommes Zorro, parfaitement anonyme et qui fait tout pour le rester.