Une donnée personnelle est, au sens de la loi française et des directives européennes, « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » [1]. Cette définition, volontairement large, peut donc englober un nombre extrêmement important d’informations : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant… Et cette liste tend inexorablement à s’étendre. La tendance des années à venir est à la santé connectée (quantified self), dont l’ensemble des données collectées peuvent constituer des données à caractère personnel au sens de la loi.
Cependant les porteurs d’une protection accrue des données personnelles se font entendre de plus en plus, au niveau étatique d’abord, mais également, et cela est davantage intéressant, par les individus eux-mêmes. Les particuliers se rendent compte en effet que Facebook n’est pas un réseau privé, et que leurs données peuvent être conservées, traitées, cédées par les entreprises.
Pour y répondre, les entreprises prennent le taureau par les cornes. Ainsi, avec la sortie de son nouveau système d’exploitation mobile iOS 8, Apple a indiqué ne plus être en mesure de mettre la main sur le contenu des appareils, y compris dans le cadre d’une requête policière : « Il n’est techniquement pas possible pour nous de répondre aux mandats du gouvernement d’extraire les données d’appareils fonctionnant sous iOS 8 » peut-on lire sur le site d’Apple consacré à la protection des données personnelles. Google a également emboité le pas à la société à la pomme, annonçant que l’ensemble des données des utilisateurs vont être chiffrées sur son nouveau système d’exploitation mobile.
Au-delà de la question de savoir si ces annonces sont effectives oui si elles n’ont qu’un but marketing, ces sociétés ne vont-elles pas trop loin ? Dans l’hypothèse d’un soupçon de terrorisme, de criminalité en bande organisée, de kidnapping par exemple, accéder aux données contenues sur le smartphone d’un individu peut être primordial pour la protection de l’ordre public. C’est en ce sens que le FBI américain s’inquiète. Le directeur de l’agence américaine indique ainsi qu’un jour, « il sera très très important pour les vies des gens que nous puissions être capable, avec l’autorisation de la justice, d’avoir accès [aux informations contenues dans l’] appareil d’un kidnappeur, d’un terroriste ou d’un criminel ».
Cette affirmation appelle à notre sens deux précisions. D’abord, les smartphones Blackberry possèdent depuis plusieurs années un système de chiffrement de l’ensemble des données des appareils, et notamment des messages envoyés et reçus. C’est ce qui a d’ailleurs fait le succès de la firme. On comprend donc mal cette levée de boucliers tardive des autorités américaines. Mais il faut le reconnaitre, l’utilisation de smartphones Blackberry est moins répandue, ou alors réservée à un public particulier (notamment les chefs d’entreprises, qui ont besoin de protéger des données particulièrement sensibles).
Il est ensuite indispensable de noter que les appareils dont le contenu était chiffré a permis des avancées majeures à travers le monde. Alors que l’ensemble des communications étaient surveillées en Egypte, le chiffrement a permis l’éveil du printemps Arabe. Nous ne nous risquerons pas à un parallèle entre chiffrement des données et démocratie, qui serait extrêmement réducteur, mais il n’est sans doute pas faux d’affirmer que les données protégées ont permis une plus grande liberté aux manifestants.
Par ailleurs les organismes de surveillance et de sécurité américains ont largement profité jusqu’à maintenant de la légèreté des éditeurs de systèmes d’exploitation et des constructeurs d’appareils mobiles. Les révélations d’Edward Snowden ont démontré la facilité avec laquelle la NSA américaine peut collecter et exploiter des données censées être protégées. Le directeur du FBI affirme à ce sujet que « dans ce monde post-Snowden, je comprends qu’il y ait un retour de balancier. Ce qui m’inquiète, c’est que le balancier soit allé un peu trop loin dans l’autre sens ».
Pourtant, dans un monde où chaque information devient une donnée que l’on peut collecter, traiter, revendre, où l’internet des objets va devenir omniprésent, et dans lequel, in fine, les grandes entreprises et administrations en savent plus sur les individus que les intéressés eux-mêmes, la protection accrue des données à caractère personnel doit être largement saluée.
Nous ne sommes qu’à l’aube d’un monde ultra-connecté. Se protéger, garder une vie privée et intime a encore du sens. Mais pour combien de temps encore ?
