Pour anticiper au lieu de réagir, un état des lieux

[Emmanuel Cauvin]

Dresser un d'inventaire technique des données générées par les systèmes (hors applications), et sur cette base, anticiper au lieu de réagir après coup


Pour résoudre un problème, le mieux est bien évidemment de remonter à sa source. Pourquoi la vie privée est-elle si difficile à protéger dans les mondes numériques ? Pourquoi tant de difficultés ? D'où vient cet écart que l'on constate chaque jour entre la loi et les faits ?

Le problème est que, pour être honnête, nous ne savons pas réellement ni en détail comment tout cela fonctionne.

Reprenons. Il existe une caractéristique technique, presque physique, de cette matière récemment découverte, que nous nommons bizarrement avec un adjectif, le "numérique" : Cette matière est visqueuse, elle garde trace du moindre mouvement, et même de la moindre présence. Pour nous situer sur Terre, dans l'espace terrestre, nous n'avons en principe besoin de rien, nous existons par nous-mêmes, avec notre enveloppe corporelle et au-delà avec notre voix, nos actions. A quelques exceptions près, comme la terre quand elle est humide, les éléments naturels ou industriels qui nous entourent n'enregistrent rien. Même la boue après tout garde trace de nos pas, mais nullement de nos faits et gestes, ni de nos paroles. Nous pouvons donc faire une promenade dans une forêt ou même dans une ville sans être repéré, en préservant notre intimité. Il n'en va pas de même dans les mondes numériques où chacun de nos pas, et même chaque action, laisse nécessairement une empreinte. Il s'agit là d'une loi physique fondamentale du nouveau monde. Sur Terre nous avons la loi de la gravitation ou la loi d'Archimède, de l'autre côté de l'écran nous vivons avec, comme pendue à nos basques, cette loi générale de conservation des faits et gestes.
De façon non exhaustive, ces traces incluent : les fichiers temporaires et les historiques de Windows ou des logiciels tels que Word, les copies "cache" dans les serveurs de l'Internet, les cookies, les données de connexion des sites Web, les sauvegardes programmées des serveurs d'entreprise, sans oublier les "copier/coller" que nous exécutons nous-mêmes quotidiennement, etc... etc...
Les données personnelles sont donc dupliquées presque à l'infini, de façon incontrôlée. Elles contiennent l'historique de tous nos passages dans les mondes numériques. C'est par elles que nous existons, puisque nous perdons notre corps en passant dans les mondes numériques. On peut éventuellement tenter de les détruire ("opt-out") mais pas les empêcher d'apparaître (toute idée de "opt-in" n'est qu'un leurre). Nous "surfons" comme un bateau dont le sillage serait persistant. Evoluer dans le nouveau monde sans y laisser des traces à chaque instant serait comme se baigner dans la mer en évitant le contact du sel, ou rouler à vélo dans Paris sans respirer les gaz d'échappement : impossible.

Nous sommes donc face à un trop-plein de données saisies (par les personnes concernées ou par des tiers) ou générées automatiquement qui se multiplient de manière exponentielle, dans une sorte de spirale sans fin (pour une base de données pleine de noms communiquée par courriel, combien de copies intermédiaires ?).

Dans ce contexte, m'est avis qu'il conviendrait tout d'abord de dresser un inventaire précis des données personnelles générées par les systèmes (hors couche applicative naturellement, mais en y incluant Windows). Nous autres, spécialistes du droit des technologies, faisons plus ou moins semblant d'être parfaitement au courant des réalités rappelées ci-dessus. Mais en réalité nous n'en avons qu'une vague idée. Un exemple : les données de connexion. Nous savons qu'elles sont stockées, mais où ? A quel moment ? Pendant combien de temps ? En combien d'exemplaires ? La vérité est que nous ne savons pas où nous mettons les pieds. Nous savons cliquer à l'écran, cela ne suffit-il pas ? Et nos logiciels, à grands coups de campagne marketing, savent nous communiquer une impression de puissance et de maîtrise de l'environnement. Mais par derrière ? Que savons-nous vraiment du grand nuage gris que les informaticiens nous présentent invariablement pour nous expliquer ce qu'est l'Internet ? Et les données de connexion ne sont qu'un exemple.
En règle générale, nous préférons attendre une plainte, un contentieux, ou l'action d'un lobby quelconque au Parlement pour nous saisir d'une question et lancer les grandes orgues. Le scénario est toujours le même : un incident, un dossier qui met à jour une pratique parfois fort ancienne, et la mécanique normative se met en marche, à grands renforts de commentaires enflammés : courriels personnels des salariés sur leur ordinateur professionnel, Whistleblowing, SWIFT etc... la liste est longue de ces dossiers traités après coup. De ce fait la CNIL donne souvent l'impression d'intervenir de manière décalée, avec un train de retard. Et à partir de là, les entreprises qui font commerce de nos données ont beau jeu de railler en douce le caractère "bureaucratique" et "obsolète" de l'autorité nationale. Les autorités compétentes donnent l'impression de donner de temps à autre un coup de pied dans une fourmilière, sans grand résultat, juste une gestuelle d'impuissance mal dissimulée, et puis tout recommence, la boucle reprend, jusqu'au prochain coup de pied.

Il serait sage qu'une autorité telle que la CNIL entreprenne une étude technique systématique des systèmes standards (Windows inclus) afin de dresser un inventaire des données qu'ils génèrent. Prendre les devants au lieu de rester à la remorque ! Mettre un projecteur sur les systèmes de base, pour les comprendre, de l'intérieur, protocole par protocole, produit par produit, version par version.

Puis, en tenant compte de cet éclairage, il sera peut-être possible de stigmatiser un peu plus précisément les comportements qui méritent vraiment une sanction. Comme l'amateur de bains de mer accepte le contact avec le sel, l'amateur de bains numériques accepte que ses données soient copiées. Mais comment définir et délimiter cette acceptation du risque ? Ce sera, comme en matière de responsabilité, une question de faits. Une question de faits ? Quels faits ? Que disent-ils ? Quel est leur verdict ?
Face à la profusion que nous avons en face de nous, la CNIL et les autorités européennes gagneraient à faire la démonstration de leur expertise technique et sur cette base, réfléchir à de nouvelles incriminations, ancrées dans une analyse détaillée des systèmes, jusque dans leurs couches les plus basses. La CNIL ne peut pas anticiper sur telle ou telle pratique condamnable volontairement conduite par telle entreprise ou institution. Par contre la standardisation des systèmes techniques permet de les analyser et d'évaluer l'impact que, par eux-mêmes, ils sont susceptibles de produire sur la protection des secrets de notre vie privée. Sur de telles bases, il sera peut-être possible d'agir sur le plan juridique de manière préventive. Mais n'anticipons pas.

D'abord, un état des lieux, dégagé de toute polémique ou autre remuement d'actualité. Au lieu de courir après les problèmes, et de réagir quand il est généralement trop tard, il serait préférable de se saisir d'une question comme les données générées par les systèmes standards en vigueur dans l'Internet. Pour un courriel adressé à telle date par Pierre à Paul : combien de copies ? Qui les détient ? Comment le savoir ?

La CNIL est une "Commission", pas un tribunal, elle n'est donc pas limitée par les dossiers qui lui sont soumis. Elle gagnerait à établir un panorama complet des copies plus ou moins cachées qui pullulent sur l'Internet. La documentation existe, il suffirait en fait de passer du fonctionnement au résultat, du "comment" au "quoi", la tâche n'est pas hors de portée. Plutôt que d'apparaître déconnectée de la réalité, la CNIL pourrait se saisir d'un sujet comme celui-là, pour plonger dans la réalité que beaucoup lui reprochent d'ignorer. La technique doit être soumise à la démocratie, et non l'inverse (1).

Certains ne manqueront pas de rétorquer que le sujet est connu, qu'il existe une Directive sur les données de connexion etc... (comme si une Directive avait jamais permis de faire la lumière sur un sujet technique !). Fort bien. Raison de plus pour avancer et dresser cet inventaire objectif.

Voyons... Un premier rapport puis... pourquoi ne pas le soumettre à une consultation publique :-)


E.C.


(1) Emmanuel Cauvin, Ils regardent le gouffre, 2ème édition, 2009, http://www.thebookedition.com/ils-regardent-le-gouffre-emmanuel-cauvin-p-12385.html (service d'impression à la demande).