Nos données ne sont pas des marchandises - La Quadrature du Net
Titre : Nos données ne sont pas des marchandises
Intervenants : Arthur Messaud - Antonio Casilli - CapsLock - Aleks
Lieu : La chaîne LQDN
Date : décembre 2018
Durée : 11 min 20
Visionner la vidéo
Licence de la transcription : Verbatim
Illustration : Copies d'écran de la vidéo
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Description
Les géants du web se servent des données produites lors de nos échanges pour faire du ciblage publicitaire. Ils n'ont pas le droit de prélever et d'utiliser ces données sans notre consentement libre. Comment peut-on agir collectivement face à ces abus ?
Transcription
Voix off : Au commencement Internet n’était qu’un petit espace où s’échangeaient des informations.
Arthur Messaud : Les informations qu’on partage sur Internet nous concernent. Les données personnelles ce sont toutes les informations numériques ou papier qui sont personnelles, qui nous concernent nous parce qu’on les a émises ou reçues. Mais ça peut être vraiment n’importe quels types d’informations. En fait la couleur de nos yeux, notre prénom, le nom de notre chien sont des données personnelles ; évidemment ce n’est pas très intéressant à exploiter.
Les données personnelles c’est aussi l’heure à laquelle on a visité un site, combien de pages différentes on a regardées sur ce même site et après sur quel autre site on est allé.
Antonio Casilli : Les données personnelles ou à caractère personnel sont quelque chose d’extrêmement collectif parce qu’elles racontent par exemple non seulement qui nous sommes, où nous habitons, ce que nous faisons, mais aussi ce que nous aimons ou alors où nous allons avec les autres, ce que nous faisons avec les autres, ce que nous pensons des autres. Finalement, ces informations à caractère personnel sont des choses extrêmement collectives, des entités qu’on partage ensemble.
CapsLock : Maintenant, on est tous à laisser des informations en ligne et, en fait, on se rend pas du tout compte de où est-ce qu’elles vont aller, qui est-ce qui va les consommer, qui est-ce qui va les acheter, qu’est-ce qu’on va en faire demain.
Voix off : Certains géants se sont accaparés ces données afin d’en tirer le plus grand profit.
Antonio Casilli : Les données personnelles sont au centre d’un marché mondial. Les parties prenantes de ce marché, les acteurs de ce marché, ce sont parfois des entreprises de la tech, des entreprises du numérique comme les Facebook, les Google ; parfois des entreprises dont on connaît un peu moins l’activité comme ce qu’on appelle les courtiers en données. Il s’agit d’intermédiaires qui collectent des informations à partir non seulement de ce que nous faisons sur Internet, mais aussi à partir de ce que les administrations publiques savent de nous ou les commerces dans lesquels nous faisons nos courses savent de nous ; pensez, par exemple, aux cartes des grandes surfaces, aux cartes fidélité des grandes surfaces.
Tout ça à la fin s’ajoute à des bases de données qui sont constituées à des fins de renseignement. De tout cela on fait commerce aujourd’hui.
CapsLock : Tout un tas d’équipements qu’on branche sur Internet, tous les objets connectés et autres, posent de gros problèmes de sécurité parce qu'ils n'ont pas du tout été conçus dans cette idée de protéger l’utilisateur. Ils sont conçus de façon à maximiser le profit de la personne qui va mettre ce produit sur le marché. On a des exemples très parlants ne serait-ce que sur les bases militaires où il y a des militaires qui se baladaient, enfin qui faisaient leur exercice physique dehors avec leur bracelet connecté, et puis ah ben mince, juste avec ce machin-là qui relevait la position GPS et l’envoyait à des serveurs, eh bien tu te rends compte, qu’en fait, tu as le plan détaillé de la base militaire. Du coup, ce qui n’était pas cartographié d’habitude, là c’est carrément cartographié par ce service de bracelet connecté.
Antonio Casilli : Le modèle d’affaires des plateformes numériques aujourd’hui est basé sur ce qu’on appelle un marché multi-faces. Marché multi-faces veut dire que vous n’avez pas seulement des producteurs et des consommateurs, mais vous avez différentes catégories d’usagers. Et ces usagers payent des prix différents.
Certains payent un prix nul, donc ils ne payent pas ; pensez par exemple à toutes celles et ceux qui se servent dans le moteur de recherche comme Google.
D’autres, par contre, payent un prix positif. Pensez par exemple aux annonceurs qui achètent les données de ceux qui font des recherches sur Google.
D’autres à la limite, ont même un prix négatif. Prix négatif veut dire qu’ils sont payés pour utiliser des plateformes. Et là, pensez par exemple, que sais-je, aux chauffeurs de Uber, aux livreurs de Deliveroo, et c’est ça, ces différentes catégories, surtout cette architecture des prix qui fait le modèle d’affaires des plateformes aujourd’hui.
Arthur Messaud : Une fois que Google et Facebook ont amassé toutes ces données sur nous, ils vont vouloir en tirer le plus grand profit, mais d’abord il faut traiter ces données. À l’état brut elles ne révèlent pas beaucoup d’informations sur nous, pas d’informations rentables, donc il faut, un peu comme un diamant qu’on va tailler, ou comme de l’or qu’on va extraire, les trier. Et ça, ça demande du travail considérable. Ils espèrent un jour qu’on va faire ce travail-là via les « intelligences artificielles » qui aujourd’hui, et peut-être pour toujours, dépendent du travail humain ; un travail humain considérable, énormément de personnes – des centaines ou des milliers de gens – qui sont, la plupart du temps, exploités dans des conditions de salaire ou de travail déplorable et sur lesquels, en fait, repose « l’intelligence » de Facebook, de Google ou d’Amazon.
Antonio Casilli : Le digital labor on peut le traduire en français comme le travail du doigt, le travail du clic, c’est le travail de production de données et surtout de production de tâches de calcul. Ces données et ces tâches de calcul sont aussi nécessaires pour entraîner nos intelligences artificielles, c’est-à-dire pour les habituer à apprendre, pour leur enseigner à réaliser des fonctions, des missions, à reconnaître des images, à reconnaître du son ou à recommander des marchandises. Tout cela, les machines ne sont pas capables de le faire, elles doivent apprendre de quelqu’un et c’est qui le quelqu’un qui enseigne aux machines ? Eh bien c’est nous.
Julie : Notre travail, en fait, était basé sur les données que collectait Cortana. Quand les gens s’adressaient à Cortana elle enregistrait, collectait ça, et Microsoft envoyait toutes les données à la compagnie pour laquelle je travaillais. Nous, les transcripteurs, on se connectait sur une plateforme de travail, on avait accès à toutes les pistes audio enregistrées par Cortana et on devait les traiter une par une, donc écouter un par un tous les enregistrements que Cortana avait fait des utilisateurs français. Un texte s’affichait qui nous montrait ce que Cortana avait compris et on devait corriger toutes les fautes qu’elle avait pu faire que ce soit de compréhension, d’orthographe ou de grammaire. En plus de ça on devait mettre des tags, qui signalaient les évènements sonores qu’il y avait dans l’enregistrement.
Arthur Messaud : Pour exploiter nos données personnelles, pour faire de la publicité ciblée et influencer nos comportements économiques, il faut être autorisé par la loi. En fait la loi, par principe, elle n’autorise pas ça ; la surveillance à des fins commerciales ce n’est pas quelque chose qui est autorisé. Pour pouvoir faire cette surveillance, les entreprises vont demander notre consentement ; c’est la seule façon pour qu’elles puissent faire ça légalement, c’est avec notre accord.
Évidemment, comme on le voit, ce consentement est arraché. Il est, en fait, fait dans des conditions forcées.
Si vous allez sur Twitter ou Google, vous êtes obligé d’accepter une surveillance à des fins économiques pour utiliser les services. Les services qui, pour beaucoup de personnes sont indispensables, parce que, par exemple, partir aujourd’hui de Facebook c’est se couper de beaucoup de personnes, notamment des collègues professionnels, des amis ou de la famille et ça c’est une façon de forcer notre consentement que de brandir la menace de nous couper de ces relations-là si on n’accepte pas cette surveillance économique.
CapsLock : Ton téléphone, en fait, envoie en permanence des données, la plupart du temps ça va être sous prétexte de faire un backup ou de te fournir des services en plus ; tu vas avoir des données de localisation qui vont partir, tu vas avoir des contacts qui vont partir, etc. Encore plus si tu choisis mal tes applications ou que tu vas prendre des applications qui demandent une quantité de permissions : quand tu installes une lampe torche, est-ce qu’elle a besoin d’accéder à tes contacts ? À priori non ! Enfin ! Et la difficulté qu’il y a là-dedans c’est pour l’utilisateur, à la fin, de comprendre si une permission qui est demandée est légitime, en fait.
Voix off : Heureusement, des associations s’emploient à nous aider à en savoir plus sur la collecte de ces données.
CapsLock : Pour arriver un petit mieux à comprendre ce que font ces applications mobiles, il y a des initiatives qui existent. On a notamment une association française qui s’appelle Exodus Privacy1, qui s’est mise en mission de générer des rapports pour les applications à la recherche de traqueurs. Les traqueurs c’est quoi ? Ce sont des petits bouts de logiciels qui sont là pour récolter de la donnée à propos des utilisateurs afin de pouvoir revendre ces données-là entre autres à des publicitaires.
L’idée d’Exodus c’est vraiment de donner un panorama des applications présentes sur le Google Play Store, des applications et du nombre de traqueurs qu’il y a dedans et, à côté, on a aussi le nombre de permissions qui sont demandées. On peut très bien voir, pour une application donnée, eh ben tiens cette application-là m’a demandé ma géolocalisation, mes contacts, mes machins, mes bidules et en face il y a quatre ou cinq acteurs qui vont récolter potentiellement ces données-là.
Parce qu’une fois qu’Android a donné à ton application une permission d’accéder à une donnée, eh bien en fait, toi en tant qu’utilisateur tu n’as absolument pas la main pour dire : OK, cette donnée-là je veux bien qu’elle soit utilisée pour l’application en elle-même, par contre je ne veux pas que le traqueur l’utilise. Toi, en tant qu’utilisateur, tu ne peux pas du tout faire ce truc-là.
Arthur Messaud : Depuis mai 2018 on a, dans toute l’Union européenne, une nouvelle loi qui vient protéger nos données personnelles, le Règlement général sur la protection des données ou RGPD, et cette nouvelle loi vient préciser de façon très claire que le consentement qui est aujourd’hui arraché par les géants du Web n’est plus valable ; il ne peut pas être donné sous la menace, il ne peut pas être donné de façon implicite c’est-à-dire les cases pré-cochées ou les formules du style « si vous ne faites rien on considère que vous êtes d’accord ». Toutes ces pratiques qui, aujourd’hui, fondent en fait l’activité des Google et Facebook, deviennent illicites.
Voix off : Des associations luttent contre cette exploitation illégale faite de nos données personnelles.
Arthur Messaud : C’est vrai qu’on peut se sentir impuissant face à ces gens qui, depuis des années, violent nos libertés, violent la loi et que personne ne semble arrêter.
On peut avoir envie de se protéger individuellement et, pour ça, il y a des bons outils. Par exemple le bloqueur de traqueurs uBlock Origin2 est assez efficace pour repousser, pour nous protéger un peu sur Internet.
Mais nous on pense, à La Quadrature3, qu’avant toute chose il faut essayer de se défendre collectivement et, si possible, en essayant de faire appliquer cette nouvelle loi qui devrait être avantageuse. C’est pour ça qu’en mai dernier on a fait des plaintes collectives contre Google, Apple, Facebook, Amazon et Microsoft. On a réussi à réunir 12 000 personnes pour saisir la CNIL, faire appliquer la loi et espérer que d’ici deux ans ou trois ans on ait une sanction qui, enfin, montre que collectivement on peut repousser ces géants.
Voix off : Mais pour être sûr de l’utilisation qui est faite de nos personnelles, le mieux est encore de garder la main sur celles-ci.
Aleks : La Brique Internet4 est un ensemble de dispositifs qui permet de reprendre le contrôle de ses données et, en fait, elle remplit deux fonctions on va dire complémentaires : la première c’est le fait de pouvoir auto-héberger ses données et ses services et le deuxième aspect c’est le fait de rendre neutre sa connexion internet, c’est-à-dire empêcher que son fournisseur d’accès à Internet puisse espionner son trafic. Avoir les données chez soi ou alors avoir ses données hébergées chez un ami ou quelqu’un qu’on connaît dans sa ville ou quelque chose comme ça, eh bien voilà !, on sait qu’on a le contrôle physiquement dessus et c’est quelque chose d’assez fort en fait. Je vois où est le dispositif physique qui stocke mes données et mes services et, du coup, j’en suis responsable et je suis autonome avec ce dispositif.
L’enjeu aujourd’hui c’est vraiment ça : c’est reprendre le contrôle des données et reprendre la responsabilité, mais c’est crucial aussi pour la liberté, pour l’autonomie, de gérer cette responsabilité individuellement et collectivement.