Les données personnelles occupent une place centrale dans le fonctionnement de nos économies et de nos sociétés. L’affaire Facebook-Cambridge Analytica rappelle que leur collecte et leur exploitation ne sont pas exemptes de risque. Les débats autour de la réglementation sont donc appelés à s’intensifier.
Une crise de plus, ou le scandale de trop pour Facebook ? Déjà accusé de favoriser la propagation des fake news, le premier réseau social au monde aura du mal à sortir sans concessions de la tempête qui s’est abattue sur lui depuis la mi-mars. Les révélations liées au siphonnage par Cambridge Analytica des données de ses utilisateurs et à leur potentielle utilisation lors de la campagne numérique de Donald Trump ont lourdement pesé sur le titre à Wall Street.
Le réseau social a beau se dire «scandalisé d’avoir été trompé», les premières déclarations de son fondateur n’ont pas suffi à apaiser une défiance sans précédent. «Nous devons nous assurer qu’il n’y a pas d’autres Cambridge Analytica qui traînent», s’est ainsi exprimé Mark Zuckerberg, sommé de s’expliquer devant le Congrès américain et les Parlements européen et britannique. Pour éteindre l’incendie, Facebook devra certainement s’astreindre à plus de transparence vis-à-vis de ses utilisateurs dans l’usage qui est fait de leurs données personnelles, et pourrait, à terme, être soumis à une surveillance accrue. «Cette situation est si grave et a pris tant d’ampleur qu’une réglementation adaptée est probablement devenue nécessaire», a commenté Tim Cook, le CEO d’Apple.
L’affaire Cambridge Analytica a replacé sous le feu des projecteurs les interrogations soulevées par l’exposition de nos vies sur les réseaux sociaux, et plus généralement sur Internet. Que nous en soyons conscients ou pas, en semant des bribes d’informations personnelles à chacun de nos passages sur la toile, ou dès lors que nous sommes en contact avec un appareil connecté, nous nous tendons à nous-mêmes des pièges potentiels.
Les données occupent en effet une place centrale dans le fonctionnement de nos sociétés et de nos économies. Elles en sont l’une des ressources les mieux valorisées, «la nouvelle électricité» du XXIe siècle, pour reprendre l’expression du lanceur d’alerte à l’origine du scandale Cambridge Analytica. Plus les programmes d’intelligence artificielle et les ordinateurs deviendront performants, plus nos sociétés produiront des données, et plus l’intérêt pour ces données augmentera, multipliant ainsi les opportunités bénéfiques (recherche médicale, nouveaux services, etc.) mais aussi les possibilités d’intrusion et d’utilisation malveillantes. Il suffit de voir combien de scrutins récents – qu’il s’agisse des présidentielles américaine et française ou du vote sur le Brexit – ont fait l’objet de vives interrogations quant à l’éventuelle manipulation des opinions par des influences extérieures.
Dans de tels contextes, la protection des données personnelles constitue un enjeu crucial. D’après la définition qu’en donne le CNRS (Centre National de la Recherche Scientifique français), elle doit être régie par sept principes clés : finalité, proportionnalité, pertinence, durée limitée de conservation, sécurité et confidentialité, transparence et respect du droit des personnes. Aux Etats-Unis, l’industrie, qui fonde sa valeur sur l’exploitation de ces données, à l’image d’un Facebook riche de ses deux milliards d’utilisateurs, s’est développée à l’abri de chartes autoproclamées et sans réels garde-fous institutionnels. En Europe, au contraire, l’utilisation abusive est prise très au sérieux, comme en atteste l’entrée en vigueur en mai prochain d’un nouveau Règlement général de l’UE sur la protection des données (RGPD), dont l’objectif est de renforcer les droits des personnes (droit à l’accès, à l’oubli, à la portabilité des données, etc.), tout en responsabilisant les entreprises qui collectent les données.
S’il y a un pays tenant à la confidentialité plus qu’aucun autre, c’est bien la Suisse, qui en a fait l’une de ses valeurs fondatrices. Preuve que la société reste viscéralement attachée au respect de la sphère privée dans un monde soumis à ce que des penseurs qualifient de «dictature de la transparence», les autorités politiques ont fini, au terme d’intenses débats, par se prononcer en faveur du maintien du secret bancaire pour les clients suisses, après avoir dû y renoncer pour les clients étrangers.
Cette dichotomie renvoie aux deux impératifs – apparemment contradictoires – qui se juxtaposent aujourd’hui dans l’univers de la banque privée: celui de la transparence et celui de la protection des données. D’un côté, afin de se préparer à l’échange automatique d’informations, les banques ont consenti des investissements massifs pour satisfaire à leurs obligations de collecte vis-à-vis des autorités fiscales. Les obligations réglementaires en matière de connaissance des clients imposent également de recueillir un éventail d’informations allant de l’origine de la fortune des clients à leur perception du risque ou leurs connaissances financières. Mais, de l’autre côté, les banques n’ont jamais déployé autant de moyens financiers et matériels pour garantir l’intégrité et la protection des informations de leurs clients.
Est-ce paradoxal ? Absolument pas. Si le modèle d’affaires de Facebook repose sur la commercialisation des données de ses utilisateurs, la raison d’être d’une banque privée se situe à l’exact opposé, c’est-à-dire dans sa capacité à garantir, dans le cadre de la légalité, la confidentialité des données confiées par ses clients. Dans un monde où l'on collecte, compile et mercantilise toujours plus d’informations personnelles, la protection des données redevient une valeur à la hausse, plus encore que les données mêmes. Les débats liés à la défense de la sphère privée ainsi qu’à la régulation du big data et de ses pratiques n’ont pas fini d’occuper le devant de la scène.