A l’affût des dérives du Web
Adrian Lobsiger, nouveau préposé à la protection des données, consacre des forces croissantes de son service pour surveiller de près les nouveaux outils de la Toile et exiger plus de transparence de leur part
«Il vaut sans doute mieux lire un journal sur du papier que sur Internet, car aucun système ne vous jette au visage de la publicité ciblée.» Nouveau préposé fédéral à la protection des données, Adrian Lobsiger explique son combat contre le manque de transparence des acteurs d’Internet, afin de protéger les consommateurs.
Adrian Lobsiger est un pragmatique. Durant sa carrière au sein de l’Office fédéral de la police, il a su, notamment, déjouer les pièges des cybercriminels. L’actuel préposé fédéral à la protection des données, en poste depuis juin, déniche désormais les astuces commerciales en petites lettres, et lutte contre le manque de transparence des acteurs d’Internet afin de protéger les consommateurs contre les abus. Votre service dispose de 35 personnes réparties sur 28 postes. Comment pouvez-vous agir efficacement contre des géants comme Google, Microsoft ou Facebook si la possibilité pour l’utilisateur de refuser des services intrusifs est insuffisante, ou la protection des données lacunaire? Ces grandes entreprises sont parfaitement conscientes de leur puissance et me l’ont rapidement fait comprendre. Peu après mon entrée en fonction, j’ai été invité au siège européen de Google à Zurich. On m’a montré que l’ensemble d’une rue serait loué pour abriter le développement de la société et ses 3000 techniciens, ingénieurs et informaticiens. Et vous, combien avez-vous d’informaticiens? m’a-t-on demandé.
Qu’avez-vous répondu? Beaucoup moins que vous bien sûr, mais je dispose d’un gros avantage sur vous, à savoir la flexibilité et la rapidité de décision. Je suis indépendant, sans autorité directe au-dessus de moi, et je n’ai pas à en référer à un siège central dans la Silicon Valley pour ouvrir rapidement une enquête et mobiliser toute mon équipe sur un gros dossier devenu prioritaire.
Sans doute, mais vous disposez d’un simple pouvoir de recommandation, et si vous saisissez la justice, l’amende maximale pour violation de la protection des données se monte à 10 000 francs. Votre pouvoir de dissuasion semble bien faible… L’aspect des sanctions financières me préoccupe, mais doit quand même être relativisé: notre principale force réside dans la possibilité d’alerter les médias en dénonçant une affaire. La réputation est considérée comme un bien très précieux par les multinationales engagées dans la récolte massive de données (Big Data). Elles feront donc en sorte de suivre nos recommandations. L’effet dissuasif lié à la publication de certains cas est beaucoup plus fort qu’une amende qui peut conduire à des procédures judiciaires interminables sans que le sort de l’utilisateur soit amélioré.
Discutez-vous en ce moment avec
une grande entreprise? Oui, nous avons ouvert une enquête contre Microsoft concernant leur produit Windows 10 et la transparence des fonctionnalités de ce produit. Il s’agit notamment de l’accès aux conditions générales lorsque certaines applications annexes, comme la vidéo, le micro, ou la localisation, entrent en fonction. L’utilisateur doit être clairement informé de ce qui se passe. L’entreprise collabore et je suis pour l’instant optimiste sur la résolution de ces problèmes.
Suggérez-vous des solutions techniques via votre petite équipe d’informaticiens? Notre rôle consiste à dire aux entreprises quels problèmes elles doivent résoudre. Elles sont libres d’appliquer la solution qui leur convient. On discute des délais de réalisation et de certaines modalités d’exécution, puis on effectue un suivi.
Quels arguments reviennent le plus souvent, de la part des entreprises, pour ne pas exécuter l’entier de vos recommandations?
Elles disent que cela coûte trop cher ou que c’est trop compliqué à changer. Je considère ces arguments souvent peu pertinents. Ces sociétés dépensent énormément pour développer leurs programmes et être capables d’effectuer de fréquentes mises à jour à distance via l’informatique en nuage (cloud). J’en conclus qu’elles peuvent aussi faire preuve d’ingéniosité pour mieux informer leurs utilisateurs. La faible transparence des informations sur les données utilisées et transmises est-elle le principal problème auquel vous êtes confronté? L’utilisateur doit avoir le libre choix de donner ou non son consentement à la manière dont les données sont corrélées, utilisées, et transmises. Mais la condition préalable à un choix éclairé est d’être informé de manière complète et transparente, ce qui n’est pas toujours le cas.
Mais si l’utilisateur coche l’acceptation des conditions générales sur son téléphone intelligent sans les lire, c’est tout de même de sa faute? Cette
question de l’acceptation globale est fondamentale. Les grandes entreprises américaines ont fait des progrès puisque auparavant les conditions générales s’étalaient sur 300 pages. Elles sont aujourd’hui réduites à quelques dizaines de pages. Mais le vrai problème se situe ailleurs. A chaque activation d’une nouvelle fonction, l’utilisateur devrait être rendu attentif à ce qu’il autorise exactement et renvoyé au chapitre ad hoc des conditions générales déjà acceptées. Il devrait aussi avoir accès automatiquement à un menu permettant de choisir exactement l’étendue et l’emploi des données désirés à un moment précis. Cela concerne particulièrement les applications sensibles liées au micro, à la reconnaissance vocale, à la caméra, et aux fonctions de localisation.
L’achat de WhatsApp, faiblement capitalisé, par Facebook comporte un risque de croisement de données entre différents programmes et
applications. Qu’en pensez-vous? J’ai d’abord été surpris qu’une telle opération puisse se faire car elle me paraissait constituer une position dominante. Elle a été autorisée parce que les règles de la concurrence fixent les seuils selon les parts de marché et le chiffre d’affaires, sans tenir compte du volume des bases de données disponibles. C’est une lacune qu’il faudrait combler à l’heure de la montée en puissance du monde numérique. Le couplage automatique des navigateurs, des programmes et des applications externes est un sujet suivi très attentivement par nos informaticiens. Il s’agit de faire respecter la règle selon laquelle l’utilisateur ne donne pas une autorisation générale globale pour le microphone ou la caméra par exemple, mais qu’elle se limite à un seul élément du système. A chaque extension, même temporaire, son autorisation doit être requise.
Le développement des techniques de numérisation ne va-t-il pas plus
vite que vos moyens d’action? Cela peut arriver. Auparavant, la version d’un navigateur était installée via un disque. Aujourd’hui, elle est téléchargée puis modifiée en permanence par de petites mises à jour via l’informatique en nuage. Il arrive donc que nos informaticiens travaillent sur une version dont les composants ont été modifiés ultérieurement, positivement ou négativement, du point de vue de la protection des données. Cela ne simplifie pas les enquêtes, d’autant que le service, qui était centré sur les aspects juridiques, manque d’ingénieurs en informatique. Mon objectif est de rééquilibrer nos capacités et moyens juridiques et informatiques, pour que nous soyons à même d’affronter la révolution numérique.
Quels sont les principaux développements auxquels vous serez bientôt confronté? Je suis neutre face au
progrès technique. Mon rôle ne consiste pas à freiner ou à accélérer la révolution numérique, mais à veiller à ce qu’elle se déroule dans la transparence et le libre choix éclairé de l’utilisateur. Notre service doit pouvoir comprendre et vérifier les objectifs à court, moyen et long terme de la collecte de données rendue possible grâce à ces nouveaux outils. Le smartphone recèle des capacités, le plus souvent insoupçonnées, d’échange de données personnelles, mais l’Internet des objets va nous occuper de plus en plus. Il y a un manque de transparence flagrant, puisque ces appareils se connectent en permanence et échangent des données sans que le propriétaire en soit averti. Les machines, capables d’apprendre, font preuve d’une grande faim de données. Or, il faudrait que ces applications ne collectent et ne transmettent des données que si l’individu y a préalablement consenti (protection des données par défaut).
Comment jugez-vous les risques liés
au traitement de l’image? Cette question va également nous occuper de plus en plus. Les avancées dans la biométrie et la numérisation permettront par exemple de retrouver la photo d’un adulte à partir de celle d’un enfant. J’ai vu ces progrès phénoménaux lorsque je m’occupais de cybercriminalité à l’Office fédéral de la police. Des millions de documents peuvent être croisés, et il deviendra impossible, par exemple, de promettre l’anonymat à un client qui refuse de mettre sa photo sur un site de rencontres, si un document similaire figure quelque part sur Internet.
Pourquoi êtes-vous favorables à la loi sur le renseignement, soumise à votation le 25 septembre, alors qu’elle constitue une atteinte aux
libertés individuelles? Les conditions posées, comme la limitation du champ d’application et la procédure d’autorisation préalable juridique et politique, me semblent garantir que cette loi sera utilisée dans un nombre très limité de cas, que le Conseil fédéral estime à une dizaine par an. Cela me paraît donc acceptable.
L’évolution de la société numérique
vous inquiète-t-elle? Je constate qu’il est facile pour des entreprises de flatter l’ego des gens en leur proposant des services vendus comme personnalisés et exclusifs grâce à l’utilisation de leurs données personnelles. Le risque est d’assister à une perte de solidarité en raison de la disparition de forfaits, notamment dans les prestations de transport ou d’assurance. Cela peut aussi conduire à un appauvrissement des échanges en raison des oeillères posées par les machines numériques qui décryptent nos comportements. Finalement, pour donner un exemple, il vaut sans doute mieux lire un journal sur du papier que sur Internet, car aucun système ne vous jette au visage de la publicité ciblée. Ce mode de lecture ne peut pas non plus éliminer les articles qui pourraient vous déplaire, et restreindre votre horizon et votre niveau d’ouverture au monde.