Les problématiques autours de la gestion des données personnelles sont brutalement revenues sur le devant de l’actualité avec la révélation de l’affaire Cambridge Analytica impliquant Facebook dans un scandale où les données de 50 millions de comptes auraient été utilisées à des fins de manipulation politique lors de la dernière campagne présidentielle Américaine.
Ce scandale marque la prise de conscience d’une série d’acteurs sur le consentement au recueil de ces données : dans la foulée de l’affaire Cambridge Analytica, il a été révélé que l’application Facebook installée sur les téléphones opérant sous Android recueillait un ensemble de données auquel elle n’aurait pas dû avoir accès : journal d’appels et de messages envoyés, numéros de téléphone des contacts …
Au-delà de la question du consentement vient la question de l’éthique. Dans le cadre de l’affaire Cambridge Analytica, la collecte de données visait à influencer certains utilisateurs du réseau social Facebook en ciblant de manière précise par le biais de publicités les électeurs susceptibles de voter pour Donald Trump maintenant président des États-Unis ; un tel procédé remet en cause le libre-arbitre des internautes et interroge sur l’impact que certaines entreprises du numérique peuvent avoir sur des processus normalement strictement encadrés par les institutions.
Si Facebook est aujourd’hui particulièrement sous les feux des critiques à la suite de ces révélations, il n’est néanmoins pas le seul acteur à être mis en cause pour ses pratiques douteuses. D’autres entreprises telles que Uber s’illustrent fréquemment par leur gestion erratique en matière de données personnelles, allant des fuites de données masquées au grand public jusqu’au suivi de ses clients via le GPS de leur smartphone une fois la course terminée …
Dans l’Union Européenne et en France, ces affaires trouvent un écho particulier : le 25 mai prochain doit rentrer en application le règlement général de protection des données personnelles (RGPD), directive européenne faisant suite à la directive 95/46/CE de 1995 et visant à encadrer plus fermement la collecte et l’exploitation des données personnelles des citoyens Européens par les entreprises faisant usage de ces données.
A moins de soixante jours de l’entrée en vigueur de ce nouveau règlement, nous rappelleront les enjeux et implications de cette directive avant de nous pencher sur les discussions que suscite en France cette thématique sur le réseau social Twitter.
Données personnelles : le nerf de la guerre de l’économie numérique
La CNIL, organisme de référence en France, définit une donnée personnelle comme étant « toute information identifiant directement ou indirectement une personne physique (par exemple : nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…) ».
Cette définition se rapproche de la conception légale française de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, renforcée par la directive 95/46/CE que le RGPD viendra supplanter.
En 2018, ces données personnelles sont à la base du business-model de nombreuses entreprises : du fait du développement conjoint du Big Data permet d’explorer de grands ensembles de données, et de l’Intelligence Artificielle permettant d’exploiter et de valoriser ces ensembles de données, la donnée devient une matière première dont l’accumulation devient fondamentale pour pouvoir tirer parti de ces nouvelles technologies.
En effet, plus une entreprise sera en possession d’un nombre important de données et plus elle sera en mesure de générer un profil-type de ses utilisateurs, lui permettant ensuite de proposer une série de services à forte valeur ajoutée : des algorithmes de recommandation basés sur les gouts et préférences de l’utilisateur permettant de mieux satisfaire ses attentes et ainsi de le fidéliser à l’utilisation du service. Dans les coulisses, cela permet aussi aux entreprises de valoriser ces profils-type auprès d’annonceurs pour proposer des publicités ciblées qui vont toucher un public déjà acquis à la cause ou au produit mis en avant.
C’est sur ce procédé que reposent tous les grands acteurs du net : les résultats de Google sont préfiltrés selon les recherches effectuées précédemment par l’utilisateur, selon sa localisation, selon les déplacements qu’il a pu effectuer auparavant ou selon les appareils qu’il utilise. Même chose pour Amazon, Facebook ou Apple qui représentent les fameux GAFA ; géants Américains du numérique.
Si, comme en témoigne la popularité des biens et services proposés par les GAFA, ce business-model se montre efficace, il pose en revanche des question soulevées précédemment dans l’introduction :
- Quid du consentement au recueil de ces données ? Si lors de chaque souscription à un de ces services, l’utilisateur accepte les Conditions Générales d’Utilisation, elles ne sont que très rarement lues. Et quand bien même ces CGU seraient lues par l’utilisateur, il est incertain que celui-ci soit mieux informé sur la nature et l’exhaustivité des données collectées, comme le révélait une publication du MIT en 2016.
- A quelles fins sont utilisées ces données ? L’affaire Cambridge Analytica met en exergue le fait que ces données collectées ne représentent pas que des enjeux commerciaux pour les firmes qui les collectent, mais peuvent aussi intéresser d’autres acteurs aux motivations plus floues. Or il n’existe actuellement aucun droit de regard de l’utilisateur quant à la valorisation faite de ses données personnelles.
- La question de l’anonymisation des données personnelles pose aussi question à l’heure du Big Data. Bien que ces ensembles de données personnelles soient anonymisés comme le requiert le cadre légal existant, les possibilités offertes par la prolifération des données sur Internet permettent bien souvent, en croisant et recoupant les informations, d’identifier des personnes physiques sur la base de données supposées anonymes. C’est notamment ce qu’il s’est passé lorsqu’en 2006, AOL a publié les données censées être anonymes de 20 millions de recherches effectuées par 650 000 utilisateurs, ou lorsque Netflix a donnée accès aux recommandations faites à 500 000 de ses utilisateurs en 2008.
C’est sur ces fondements que repose le RGPD, mais nous allons voir qu’il se place aussi sur un cadre plus large qui est celui de la place de l’Europe dans l’économie numérique.
Les fondements du RGPD
L’Europe, souvent qualifiée de « colonie numérique » du fait de la domination Américaine via les GAFA d’un côté, et de celle de la Chine via les BATX (pour Baidu, Alibaba, Tencent et Xiaomi) de l’autre, prend conscience de ses faiblesses en termes d’économie numérique.
Du constat de cette domination étrangère, la Commission Européenne a développé une stratégie pour un marché unique numérique en Europe (Abrégé en « MUN » pour Marché Unique Européen) dont le but est de promouvoir un « espace dans lequel la libre circulation des biens, des personnes, des services et des capitaux est garantie… Un espace où les particuliers et les entreprises peuvent, quels que soient leur nationalité et leur lieu de résidence, accéder et se livrer à des activités en ligne dans un cadre garantissant une concurrence loyale et un niveau élevé de protection des consommateurs et des données à caractère personnel ».
Cette stratégie repose sur trois piliers principaux que sont :
- L’amélioration de l’accès aux biens et aux services numériques dans toute l’Europe pour les consommateurs et les entreprises.
- L’offre d’un environnement propice au développement des réseaux et des services innovants en soutenant les entreprises européennes, mais en renforçant également la protection des données personnelles.
- La maximisation du potentiel de croissance de l’économie numérique européenne.
Le RGPD s’inscrit directement dans ce contexte en proposant un cadre harmonisé entre les différents pays Européens, mais aussi en imposant des règles strictes aux entreprises étrangères venant à collecter et traiter les données personnelles des citoyens Européens.
Parmi les innovations proposées par le RGPD se trouvent plusieurs éléments, dont les plus importants semblent être le droit à la limitation de traitement et le droit à la portabilité.
Le droit à la limitation de traitement signifie que toute personne doit avoir consenti clairement à la collecte et l’exploitation de ses données personnelles, mais aussi qu’il existe la possibilité de s’opposer au profilage effectué et d’invoquer un droit à l’oubli plus ferme que le droit au déréférencement existant actuellement.
Le droit à la portabilité signifie lui qu’il sera possible de demander le transfert de l’intégralité de ses données personnelles de manière gratuite d’un prestataire à un autre, impliquant un plus grand contrôle et une plus grande transparence sur les détenteurs de ces données. Ce droit à la portabilité encadre également les transferts de données qui pourraient avoir lieu au départ de l’Union Européenne, permettant de mieux encadrer les activités des grandes entreprises du numérique étrangères.
L’arsenal répressif Européen se retrouve lui aussi renforcé, avec la possibilité d’infliger aux entreprises ne respectant pas le RGPD des sanctions pouvant aller jusqu’à 4% du chiffre d’affaire mondial et représentant un montant colossal pour les GAFA ou les BATX.
Si ce projet est ambitieux, il comporte néanmoins certaines limitations pratiques : une étude de Seinzing, éditeur de logiciel, révélait qu’en France, 27% des entreprises interrogées n’étaient pas certaines d’avoir correctement cartographié l’ensemble de leurs données, et 31% des entreprises doutaient de leur capacité à être en conformité avec le nouveau règlement à la date du 25 mai. La faute à un projet demandant des moyens considérables tant pour les PME que les grandes entreprises avec la nécessité de nommer un Chief Data Officer ou délégué de protection des données, mais aussi du coût de traitement des demandes liées au RGPD qui pourrait représenter de 172 à 1289 heures par mois, nécessitant alors un ajustement des ressources humaines de l’entreprises et donc une hausse des charges.
Dans ce contexte à la fois incertain pour les entreprises, mais aussi riche au niveau de l’actualité, nous pouvons alors nous intéresser à la manière dont est traité le sujet sur les réseaux sociaux, et en particulier sur Twitter, via l’utilisation de l’outil Visibrain.
Quelles discussions sur Twitter ?
Un premier constat que nous pouvons faire est que si l’affaire Cambridge Analytica a été commentée sur Twitter, le rapprochement n’a pas été fait avec l’entrée en vigueur imminente du RGPD. La période analysée correspond à un mois de tweets, du 25/02/2018 au 27/02/2018, sur toutes les mentions du RGPD dans des tweets en français.
Comme nous pouvons le voir, le volume de discussion autour du RGPD (en bleu) est resté à un niveau similaire à celui des semaines précédant l’éclatement de l’affaire.
En s’intéressant d’un peu plus près à ces discussions, on constate également que les discussions se font beaucoup moins nombreuses au sujet du RGPD les week-end, pouvant nous laisser penser à une communication de la part de professionnels ou d’institutions, en opposition avec l’affaire Cambridge Analytica et le hashtag #DeleteFacebook d’appropriation plus populaire.
Pour voir cela de manière plus précise, nous pouvons cartographier les utilisateurs ayant twitté au sujet du RGPD afin de détecter les influenceurs et les communautés dans lesquelles ils évoluent.
Ainsi, il est possible d’identifier 4 communautés qui se démarquent :
- En vert, se retrouve la communauté autour de la CNIL. La CNIL étant l’organisme en charge de l’encadrement du RGPD en France, elle publie nombre de messages informatifs et de fiches conseils par le biais de Twitter. Ses messages sont donc repris dans un but de diffuser l’information aux acteurs pouvant être impactés par le RGPD.
- En bleu, on retrouve Mounir Mahjoubi, Secrétaire d’État auprès du Premier ministre chargé du numérique, mais aussi le compte du ministère de la Justice, celui de Syntec Numérique (le syndicat des professionnels du numérique) ou la Quadrature du net, association de défense des droits et libertés sur le net.
- En violet, on retrouve le quotidien Nextinpact et son fondateur Marc Rees, impliqué sur l’actualité de l’informatique, mais aussi Guillaume Champeau, directeur des relations publiques du moteur de recherche Qwant dont la particularité est qu’il ne collecte pas les données personnelles !
- En orange, ZDNet, l’Usine Digitale, le Journal du Net ou French Web. Un ensemble d’acteurs traitant l’actualité technologique et numérique avec une ligne éditoriale plutôt tournée vers les entreprises et les professionnels.
Mention particulière à Jeff Pillou dont le tweet a été le plus repris sur cette thématique mais principalement par des comptes qui se trouvent isolés des autres acteurs communiquant au sujet du RGPD.
On peut chercher à détailler un peu plus ces communautés pour voir la manière dont elles sont structurées.
Ainsi, on peut voir que les deux communautés qui se démarquent sont celles en violet autour de Nextinpact et de Guillaume Champeau, et autour de Mounir Mahjoubi et autres comptes plus institutionnels. La communauté autour de la CNIL est plus éparse et confirme bien le rôle de relais de l’information qu’elle tient, plutôt qu’un réel rôle d’influenceur sur la thématique. En filtrant ces données pour ne garder que les comptes les plus influents, nous pouvons aborder les dynamiques qui existent entre ces comptes.
On peut observer qu’il existe de nombreux liens entre les acteurs malgré leur appartenance à des communautés différentes, indiquant une unité autour du message véhiculé et un effort commun pour informer et éduquer au sujet de cette nouvelle directive.
Ce filtrage permet aussi de faire apparaitre certains acteurs particuliers tels que des professionnels de l’hébergement cloud pour lesquels la question de la gestion des données personnelles est plutôt sensible, mais aussi de comptes en lien avec les ressources humaines, témoignage de la pression qu’exerce sur les entreprises la mise en conformité. Quelques comptes en lien avec secteur juridique font aussi leur apparition.
Ici, pas de grande surprise au niveau des hashtags avec des termes assez génériques faisant référence au RGPD, aux données et à leur protection que l’on retrouve en français et dans leur équivalent anglais. Une timide mention est faite des GAFA et de Facebook, ainsi que des ressources humaines.
En revanche, si on s’intéresse aux hashtags moins utilisés, on voit alors apparaitre des thématiques plus spécifiques en lien avec les comptes influents vus précédemment.
Ici, le lien entre le RGPD et l’entrepreneuriat, l’innovation, le conseil juridique et la protection de la vie privée est bien visible, même s’il représente une faible portion de l’ensemble des hashtags utilisés sur la thématique.
En définitive, si le RGPD mobilise bien sur Twitter, il mobilise en revanche un type d’acteurs spécifique : les professionnels et experts du numérique. Comment expliquer cela alors que, comme nous avons pu le voir, l’affaire Cambridge Analytica provoque elle aussi un nombre important de réactions sur le réseau social ?
Un premier élément de réponse vient du sujet en lui-même, un sujet complexe par ses aspects légaux et faisant appel à des concepts techniques nécessitant une certaine culture du numérique pour avoir conscience des enjeux qui sont mis en balance. Cette nature du RGPD fait que les messages publiés à son sujet sont des messages plutôt fondés sur l’analyse, tandis que l’affaire Cambridge Analytica provoque elle des réactions épidermiques moins propices à la réflexion.
Un second élément de réponse vient du fait que les contraintes du RGPD reposent principalement sur les entreprises, ce sont donc elles qui sont le plus exposée à la thématique et donc les plus à même de communiquer à son sujet, tandis que la majorité des citoyens français n’a probablement pas connaissance de l’entrée en vigueur de ce nouveau règlement mais possède bien un compte Facebook et se sent donc plus impliquée par l’affaire Cambridge Analytica.
Par Benoit Fournier, promotion 2017-2018 du M2 IESCI
Références
Barreau, C. (2016). Le marché unique numérique et la régulation des données personnelles. Annales des Mines – Réalités industrielles, août 2016, (3), 37-41.
Tanghe, H. & Gibert, P. (2017). L’enjeu de l’anonymisation à l’heure du big data. Revue française des affaires sociales, 79-93.
Texier, B. (2018, Février 23). RGPD : des chiffres qui font mal ! Récupéré sur Archimag : http://www.archimag.com/demat-cloud/2018/02/23/rgpd-chiffres-font-mal