Aujourd’hui c’est la journée européenne de la protection des données personnelles. Chaque 28 janvier l’accent est mis sur ce sujet et vous lirez beaucoup de choses sur le tracking en ligne, sur la façon de s’en prémunir et sur les nombreux outils qui existent. Parfois ce sera peut-être redondant mais la pédagogie est l’art de la répétition. Je profite de cette journée symbolique pour apporter ma pierre à l’édifice. Mais je ne parlerai pas d’outils pour protéger nos données personnelles. Je voudrais essayer de tordre le coup à certains préjugés et faire comprendre que la protection de nos données personnelles n’est pas une marotte de geeks. C’est un enjeu particulièrement crucial à l’heure où nos données de santé, nos opinions politiques ou religieuses, nos relations dépendent des technologies numériques.
Je n’ai rien à cacher
C’est la réponse la plus répandue et la plus simple quand on parle de protection de la vie privée. Cet argument sous-entend que si on cherche à protéger notre vie privée, c’est pour dissimuler un méfait ou un acte délictueux. Ce raisonnement est la conséquence de plusieurs années de matraquage sécuritaire et de tentatives fructueuses de nous faire consentir collectivement à la multiplication des lois anti-terroristes ainsi qu’à un état d’urgence permanent. Il n’est plus nécessaire de crier à l’orwellisation de la société et au développement de ses dispositifs de contrôle. Nous sommes à l’épilogue du roman 1984. Au moment où Winston Smith finit par aimer Big Brother et adhérer volontairement à cette servitude volontaire.
Or, il est faux de dire qu’on n’a rien à cacher. Edward Snowden avait sorti cette punchline « Dire que l’on se fiche du droit à la vie privée sous prétexte que l’on a rien à cacher serait comme déclarer que l’on se fiche du droit à la liberté d’expression sous prétexte que l’on a rien à dire ». Elle n’a pas pris une ride mais elle est incomplète. Nous avons tous des idées, des désirs, des fantasmes que nous ne souhaitons pas partager. Cela peut aller de la chanson coupable qu’on n’assume pas publiquement à l’opinion politique qu’on n’ose pas exprimer devant ses collègues par crainte de sanction ou de représailles. Ce ne sont pas des choses répréhensibles mais une partie de soi ou de son identité qu’on ne souhaite pas divulguer pour tout un tas de raisons qui nous regardent. Et si vous n’avez rien à cacher, pas de jardin secret à protéger, ouvrez-nous les portes de vos boîtes mails, de vos réseaux sociaux. Montrez-nous les photos qui sont stockées dans vos téléphones ou les DM que vous avez envoyés. Sans parler de contenus à caractère sexuel, vous ne souhaitez peut-être pas qu’on sache de quel sobriquet votre conjoint-e vous affuble. Et tout cela est légitime car c’est vouloir préserver votre intimité. Pour y parvenir, cela nécessite de refuser de jouer le jeu de la logique sécuritaire et des règles dangereuses qui promettent plus de sécurité au nom de la liberté.
Le chiffrement, l’arme des voyous et des pédocriminels
La cryptographie permet de chiffrer un message au moyen d’un algorithme de chiffrement. Son objectif vise à garantir la confidentialité, l’intégrité et l’authenticité d’un message. Défendre ces principes ne fait pas de vous un criminel.
Les pouvoirs publics et les représentants politiques tentent régulièrement de réduire la portée du chiffrement des moyens de communications. L’argument invoqué est de pouvoir permettre d’identifier des criminels souvent terroristes ou les échanges de contenus pédopornographiques. Bien évidemment qu’il faut lutter contre ces crimes mais ce n’est probablement pas en déployant des portes dérobées dans les protocoles de chiffrement que les autorités mettront un terme à cette cybercriminalité. On apprend régulièrement que des plateformes de ventes d’armes, de drogues et de tout ce qui peut faire fantasmer la presse à sensation ont été démantelées. Ces espaces du fameux « dark oueb » disposent pourtant d’un niveau de protection essayer d’échapper au radar des forces de l’ordre. Malgré toutes ces dispositions, les autorités parviennent à les faire fermer. Le problème n’est donc pas le chiffrement des moyens de communications qui permettent à la grande majorité des utilisateurs de protéger leur intimité mais plutôt le manque de moyens attribués aux autorités pour pouvoir enquêter et démanteler ces réseaux. Affaiblir le chiffrement, c’est accepter que nos données de santé transitent à la merci de tous et puissent être interceptées et lues par n’importe qui. Récemment en Finlande, des cybercriminels ont voulu faire chanter des patients qui suivaient une psychothérapie. Certes aucune solution n’est infaillible mais le chiffrement des données réduit l’exposition à ce genre de menaces. Affaiblir le chiffrement, c’est accepter d’acheter des produits en ligne en risquant de se faire dérober ses informations bancaires. Affaiblir le chiffrement, c’est se rendre complice de l’espionnage industriel et de la levée du secret commercial et industriel considéré comme un principe sacro-saint de la société capitaliste.
On mesure bien que le chiffrement est devenu central et indispensable. Souhaiter l’affaiblir dans un domaine, c’est s’exposer à diminuer son efficacité ailleurs. D’autant plus que les criminels ne manquent pas d’imagination et de ressources pour se protéger. « Des gens réellement mal intentionnés avec un peu de bagage technologique, ne seraient pas inquiétés par une telle loi. Rien n’empêche d’utiliser un chiffrement bonus sur un logiciel e2e. »
Les données biométriques
Quand on parle de données personnelles, on pense souvent aux traces qu’on laisse (in)volontairement derrière nous sur le web ou aux informations extorquées par des conditions générales d’utilisation léonines. Mais une autre catégorie de données personnelles est de plus en plus exposée avec l’utilisation des assistants vocaux ou des dispositifs de reconnaissance d’empreintes sur les smartphones. Nos données biométriques sont de plus en plus utilisées pour pouvoir accéder à des services ou authentifier un accès. Le recours à l’empreinte digitale pour déverrouiller son téléphone est une fonctionnalité rapide et pratique qui évite l’oubli de mot de passe. Mais c’est également le revers de la médaille, on ne peut pas changer son empreinte digitale. A l’inverse, en cas de fuites ou d’attaques, le mot de passe pour accéder à un service ou à un compte peut être changé. Sans compter que le vol d’empreintes biométriques n’est pas si compliqué que cela. En effet, une photographie de vos doigts peut suffire à récupérer votre empreinte digital. Le confort des ces nouvelles fonctionnalités qu’on retrouve dans nos objets du quotidien ne doit pas nous faire oublier qu’elles comportent des risques dont les conséquences en matière d’usurpation d’identité peuvent être très dangereuses.
Avec le développement de dispositifs de contrôle comme la reconnaissance faciale, c’est l’utilisation même de notre visage que nous ne contrôlons plus. La multiplication de la vidéosurveillance, supposée lutter contre la criminalité, représente une entrave à la libre circulation puisque nos déplacements et notre attitude sont scrutés à chaque coin de rue. Mais désormais les réseaux de caméras sont couplés à des algorithmes de reconnaissance faciale. A partir de notre façon de marcher ou de notre comportement, on va essayer de déduire et anticiper nos actions. Mais comment l’algorithme peut-il traduire le stress d’arriver en retard à un entretien d’embauche ? La conséquence de cette surveillance est de chercher à se conformer à une norme sociale pour éviter d’apparaître comme un signal faible. C’est toujours l’argument sécuritaire qui justifie le déploiement de cet arsenal panoptique. En brandissant la menace d’un attentat les pouvoirs publics produisent une accoutumance aux technologies sécuritaires. La fuite en avant technologique motivée par des ambitions sécuritaires ne doit pas se faire au détriment de nos libertés, de notre vie privée et de nos données personnelles.