Données personnelles : après avoir fait plier Facebook, Max Schrems s’attaque à Appleet bientôt à Google

L’organisation Noyb, cofondée par l’Autrichien Max Schrems (33 ans) qui a tenu tête à Facebook en 2015 et en 2020, a déposé plainte le 16 novembre contre Apple et son « cookie » IDFA, auprès des « Cnil » allemande et espagnole – en attendant d’autres autorités dont la France. Prochaine cible : Google.

Il est libre Max… « Il met de la magie, mine de rien, dans tout ce qu’il fait. Il a l’sourire facile, même pour les imbéciles. Il s’amuse bien, il [ne] tombe jamais dans les pièges. Il s’laisse pas étourdir par les néons des manèges. Il vit sa vie sans s’occuper des grimaces. Que font autour de lui les poissons dans la nasse. Il est libre Max, il est libre Max… », chantait Hervé Cristiani dans les années 1980 (1). Libre, c’est le cas de Max Schrems (photo) né durant cette décennie-là, en octobre 1987. Cet Autrichien a maintenant 33 ans et il est depuis deux ans et demi président d’honneur de Noyb.

Vers une affaire « Schrems 3 » avec Apple
L’organisation non gouvernementale Noyb – pour « None of Your Business » (« Ma vie privée n’est pas votre affaire ») – est née le jour même que l’entrée en vigueur en Europe du Règlement général sur la protection des données (RGPD), à savoir le 25 mai 2018. L’action de cette ONG professionnelle pour le respect à la vie privée (numérique) se veut similaire aux organisations de défense des droits des consommateurs et a vocation à engager des poursuites contre des sociétés – GAFA en tête – au nom de leurs utilisateurs. Noyb s’appuie sur les succès de son cofondateur Max Schrems, qui se présente comme « avocat et militant pour la vie privée », épaulé au sein du conseil d’administration par Christof Tschohl, avocat et spécialiste de la protection de la vie privée, et de Petra Leupold, avocate et spécialiste des droits des consommateurs.
Avant de créer Noyb, Maximilian Schrems (2) s’est fait connaître en portant plainte, en tant que citoyen autrichien, contre Facebook accusé de transférer les données personnelles de ses utilisateurs européens vers les Etats- Unis. Ce qui a amené la Cour de Justice de l’Union européenne (CJUE) à invalider en 2015 le « Safe Harbor », lequel autorisait depuis l’année 2000 le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. C’est l’affaire dite « Schrems 1 » (3) qui a propulsé Max Schrems au-devant de la scène médiatique face à Facebook. Le « Safe Harbor » annulé (4), il a été remplacé en 2016 par le « Privacy Shield » malgré un avis mitigé à l’époque du groupement des « Cnil » européennes (5), dit « Article 29 » ou G29 – devenu le Comité européen de la protection des données (CEPD). Fort de son premier succès à l’encontre du « Safe Harbor », Max Schrems a encore porté plainte, contre cette fois le « Privacy Shield », ce « bouclier de la vie privée » ou « bouclier des données » qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées. Là aussi la CJUE a eu à se prononcer et, le 16 juillet 2020, à l’invalider à son tour au regard cette fois des exigences découlant du RGPD et à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (6). C’est l’affaire dite « Schrems 2 » (7) qui a renforcé la légitimité de Max Schrems (8) face à la firme de Mark Zuckerberg.
La plainte déposée le 16 novembre dernier à l’encontre d’Apple – à la fois devant la « Cnil » allemande, le BfDI (9), et devant la « Cnil » espagnole, la AEPD (10) –, s’inscrit dans le prolongement des deux actions précédentes et pourraient bien constituer l’affaire « Schrems 3 ». Contacté par Edition Multimédi@, un autre avocat de Noyb, Stefano Rossetti, spécialisé lui aussi dans la protection de la vie privée, nous indique que la même plainte contre la firme de Cupertino pourrait être déposée auprès d’autres autorités de protection des données personnelles dont la Cnil en France : « Oui, nous considérons la France comme une option ».
Et une porte-parole de l’organisation, Phoebe Baumann, nous a expliqué : « Nous avons décidé d’aller d’abord en Allemagne et en Espagne, car nous y avions des personnes concernées et un cadre juridique établi, y compris une jurisprudence qui appuyait notre point de vue ». Après ces cookies-maison d’Apple, le système similaire chez Google sur terminaux Android sera à son tour contesté, comme Noyb nous l’a confirmé : « Nous étudions également Android et Google. En fin de compte, nous voulons voir ces traqueurs hors de nos téléphones. ».

Absence de consentement préalable
Dans cette affaire « Schrems 3 », il ne s’agit pas cette fois de transfert de données personnelles de l’Europe vers les Etats-Unis, mais de traçage des utilisateurs sur leurs smartphones et tablettes – en l’occurrence les iPhone voire les iPad d’Apple. La firme de Cupertino utilise un cookiemaison appelé IDFA, pour « Identifier for Advertisers ». Autrement dit, il s’agit d’un code de suivi unique généré par défaut – et donc sans le consentement préalable du mobinaute – par le système d’exploitation iOS des smartphones et des tablettes de la marque à la pomme. Chaque utilisateur ne peut qu’accepter la licence logiciel (Apple iOS and iPad OS Software License Agreement) s’il veut utiliser son iPhone et/ou son iPad. Or, sans qu’il le sache ni y consente, l’utilisateur des terminaux à la pomme se retrouve pisté à son insu par IDFA, « cette chaîne unique de chiffres et de caractères » qui permet à Apple et à d’autres tiers – comme les annonceurs publicitaires – d’identifier les utilisateurs à travers les applications et même de relier les comportements en ligne (cross device tracking).

La directive « ePrivacy » à la rescousse
Grâce à l’IDFA, Apple et des entreprises tierces partenaires telles que les éditeurs d’applications et les annonceurs peuvent « suivre le comportement des utilisateurs, élaborer des préférences de consommation et fournir des publicités personnalisées ». C’est là que le bât blesse : ce code de traçage suppose le consentement préalable des utilisateurs, conformément à la législation européenne : non seulement le RGPD mais aussi, et surtout, la directive dite « ePrivacy » de 2002 sur le « traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques » (11). Apple enfreint l’article 5 (paragraphe 3) de cette directive qui impose aux Etats membres de « veille[r] à ce que le stockage des informations ou l’accès aux informations déjà stockées dans ces dispositifs ne soient autorisés qu’avec le consentement préalable de l’utilisateur ». en n’obtenant pas le consentement éclairé et sans ambiguïté de ses utilisateurs pour pouvoir déposer son logiciel espion, Apple viole cette loi européenne sur les cookies. Dans ses deux plaintes quasi identiques déposé en Allemagne et en Espagne, l’organisation Noyb précise qu’« étant donné que l’IDFA est stocké et récupéré sans équivoque à partir du dispositif utilisateur, l’article 5 (3) de la directive “ePrivacy”, en tant que lex specialis, s’applique au lieu de la disposition plus générale de l’article 6 du RGPD (Apple ne peut donc prétendre à aucun intérêt légitime pour son traitement) ». Juridiquement, Noyb souligne que la directive sur la protection des données électroniques prévaut sur le RGPD (12).
La firme de Cupertino joue en outre un double-jeu, comme le souligne Stefano Rossetti : « Alors qu’Apple a introduit des fonctions dans son navigateur pour bloquer les cookies, elle place des codes similaires dans ses téléphones, sans aucun consentement de l’utilisateur. Il s’agit là d’une violation flagrante de la législation européenne sur la protection de la vie privée ». Contrairement à la plainte déposée en Espagne par l’Espagne contre Apple, celle d’Allemagne l’a été notamment par un Berlinois de 45 ans, qui a échangé plusieurs messages avec le fabricant d’iPhone au cours du mois de février dernier. Dans une première réponse, l’équipe de protection des renseignements personnels d’Apple n’a pas répondu à la demande du plaignant qui demandait pourquoi l’IDFA avait été activé sur son terminaux et « pour essayer de comprendre pourquoi il n’était pas désactivé par défaut » (ou « comment le suivi des publicités n’est pas limité par défaut »), tout en exprimant auprès de l’équipe « des doutes sur la légalité de ce traitement » et sur le risque pour ses données personnelles. Le 20 février 2020, le quadragénaire obtient d’Apple une tentative de clarification : « L’identi-ficateur publicitaire dont nous avons parlé précédemment n’est pas associé à votre identifiant Apple [Apple ID, ndlr]. Il est généré aléatoirement sur votre appareil. Les renseignements recueillis en association avec un identificateur de publicité ne sont pas personnellement identifiables et, par conséquent, le consentement ne découle pas du RGPD ». Ce à quoi le plaignant a répondu : « Je crois que ce n’est pas vrai. Par exemple, ma page “off-Facebook” montre plusieurs applications qui partageaient ces informations [l’IDFA, par ex.] avec Facebook, et cela est lié à mes informations privées. Je crois que cet identifiant pseudo-anonyme est des données privées en vertu du RGPD précisément parce qu’il peut être lié à moi personnellement ». Le 21 février, Apple s’est contenté de répondre, en bottant en touche : « Nous ne sommes pas en mesure de formuler des commentaires sur la façon dont un tiers peut traiter de telles questions ». L’entreprise à la pomme n’a ensuite plus jamais répondu au Berlinois qui souhaitait approfondir sur ce différend touchant à sa vie privée. Gageons que la firme de Cupertino sera plus claire dans ses réponses aux autorités européennes de protection des données.

Restriction aux tiers en 2021, pas pour Apple
En septembre dernier, Apple avait annoncé une « amélioration » de l’IDFA dans le sens d’une « restriction d’accès » par les développeurs et les annonceurs. Mais cette nouvelle disposition – via la fonction App Tracking Transparency (ATT) – ne sera en place qu’en 2021 avec l’iOS version 14, qui devrait donner aux utilisateurs le choix de permettre ou non aux applications – dont Facebook qui se brouille à ce sujet avec la pomme – de les suivre à des fins publicitaires et de transmettre leurs données personnelles à des tiers. « Ces changements semblent restreindre l’utilisation de l’IDFA pour les tiers (…). Toutefois, le stockage initial de l’IDFA et l’utilisation qu’en fera Apple se feront toujours sans le consentement des utilisateurs et donc en violation du droit communautaire », déplore encore Noyb. @

Charles de Laubier

Rémunérer les internautes – pour l’utilisation de leurs données personnelles – fait son chemin

Si c’est gratuit, c’est vous le produit ! Mais les internautes ne sont plus dupes : leurs données personnelles sont « l’or noir du XXIe siècle » et ils comptent bien se faire rémunérer pour leur exploitation ou pour visualiser de la publicité. Les start-up de la monétisation des données se multiplient.

La start-up française Tadata va avoir deux ans en fin d’année. Cet été, la Cnil (1) a clôturé l’enquête qu’elle avait lancée au printemps à son encontre après avoir été « alertée » par l’Internet Society France (Isoc France) en février dernier. Cette association qui représente les internautes dans les instances de la gouvernance de l’Internet en France et dans le monde, a décrété un postulat : les données personnelles procèdent d’un droit fondamental et, à ce titre, elles ne peuvent être vendues ou faire l’objet d’une monétisation.

Cnil pour, gouvernement et CNNum contre
L’Isoc France, présidée par Nicolas Chagny depuis cinq ans, a reproché à la jeune pousse parisienne, fondée fin 2018 par Alexandre Vanadia et Laurent Pomies, de justement proposer à un public de jeunes internautes de gagner de l’argent contre le partage de leurs données personnelles. Et l’association de « regretter l’approche simpliste et opaque du gain d’argent facile et rapide (…) ciblant un public vulnérable ». Tadata se présente comme « la première plateforme de monétisation des données personnelles ». Le sang de l’Isoc France n’avait fait qu’un tour, tout en affirmant constater « des non-conformités » au regard notamment du règlement européen sur la protection des données personnelles (RGPD), avait donc « alerté immédiatement la Cnil selon un principe de précaution, avant la montée en puissance d’un tel service » (2). Mais après quelques mois d’investigation, la Cnil a informé en juillet dernier la société qu’elle avait finalement classé sans suite cette affaire, en clôturant la procédure sans aucune sanction (3), la société s’étant mise en conformité avec le RGPD entre autres aspects juridiques. « La Cnil nous a même invité à participer à des échanges et débats sur la thématique de la monétisation des données personnelles avec ses équipes », indique Christel Monge (photo de gauche), présidente de Tadata, à Edition Multimédi@. Le gendarme des données valide donc un nouveau modèle économique des données, là où le gouvernement est plutôt contre la vente des données personnelles. En mars 2018, à la suite d’un rapport « Mes data sont à moi » du think tank libéral Génération Libre prônant la « patrimonialité des données numériques » et leur rémunération (4), Mounir Mahjoubi, alors secrétaire d’Etat au Numérique, avait déclaré lors d’un débat du Syntec Informatique : « Je suis contre toute propriété et vente des données personnelles ». Quant au Conseil national du numérique (CNNum), dans un rapport de 2017, il avait déjà jugé ce « système patrimonial pour les données à caractère personnel » comme « une proposition dangereuse » (5). Avec ce feu vert explicite de la Cnil, la plateforme Tadata met désormais les bouchées double : elle propose donc aux 15- 25 ans de lui faire part d’informations personnelles de leur choix : centres d’intérêt, habitudes de consommation, besoins actuels, … L’internaute est invité à remplir des formulaires. Ensuite, les annonceurs auxquels sont transmis ces données pourront retenir des profils pour utiliser leurs données, contre de l’argent. L’internaute consentant accepte ainsi de « céder l’exploitation » de ses données personnelles « pour une durée de deux ans, dans le cadre d’une licence d’utilisation concédée aux annonceurs ». L’utilisateur a le choix entre être payé par virement sur un compte bancaire (Iban à renseigner à l’inscription), soit par carte cadeau où seront crédités chaque mois les gains obtenus. Tadata a passé un partenariat avec la société Wedoogift, qui permet aux bénéficiaires de dépenser leurs « cartes cadeaux » – valables chacun un an – dans plus de 500 enseignes physiques, dont des cinémas, et plus de 150 sites Internet. Tadata se positionne implicitement comme un anti- GAFAM qui s’arrogent des droits d’exploitation massive de données en échange de la gratuité de leurs services souvent incontournables et en position dominante. « Tous les jours, les acteurs d’Internet utilisent tes données personnelles à ton insu et se font de l’argent sur ton dos ! Avec Tadata, dis “Stop” : reprends le contrôle de tes données perso et gagne de l’argent avec ! », lance la plateforme de monétisation.

Start-up Tadata, My Data, Polymate, …
En contrepartie de son autorisation, le jeune internaute perçoit une quote-part de la redevance perçue par Tadata en vertu des licences d’utilisation conclues auprès de clients (dont les annonceurs), quote-part qui sera comprise « entre 3 et 5 euros » à chaque licence concédée pour l’utilisation par le client d’une base de données contenant des données à caractère personnel (DCP) du jeune concerné. Tadata n’est pas la seule jeune pousse, loin de là, à vouloir monétiser les données personnelles. Toujours en France, à La Rochelle cette fois, My Data – alias « My Data is Rich » (MDiR) – propose de « transformer vos données en royalties » en se présentant comme un tiers de confiance « pour la collecte, la gestion, la protection et la valorisation de données personnelles », indépendant des GAFAM, qui fait le lien entre les « auteurs de données » (essentiellement les particuliers) et les « consommateurs de données personnelles », à savoir les entreprises et tout organisme. MDiR, qui compte « plusieurs milliers de personnes », redistribue à ces « contributeurs » 50 % des gains engendrés par la valorisation de leurs données. « Nous ne sommes pas vendeur de données mais tiers de confiance. Les données sont pseudonymisées et ne sont identifiées auprès d’une entreprise tierce qu’après un droit d’usage accordé par la personne concernée », explique son président Eric Zeyl à Edition Multimédi@. Il l’assure : cette approche permet à chacun d’être « enfin un acteur éclairé et consentant de l’utilisation de ses données », tandis que les entreprises disposent ainsi de solutions « RGPD by design » pour développer des parcours clients ou prospects « data responsables ». La jeune pousse rocheloise a annoncé miseptembre son rapprochement avec le groupe Doxsa (6).

Brave rémunère en cryptomonnaie
Autre start-up française du « données contre royalties » : Polymate, basée à Bailly Romainvilliers (en région parisienne) et présidée par Armel Satchivi (photo de droite), qui revendique être le « premier réseau social géolocalisé qui rémunère ses utilisateurs ». Alors que YouTube (Google) ou, plus récemment, TikTok (ByteDance) sont des mégaplateformes qui rémunèrent leurs créateurs et influenceurs en fonction d’un grand nombre d’abonnés à « leur chaîne » ou de volume d’heures diffusées sur le réseau social, Polymate monnaye la data géolocalisée de ses utilisateurs devenus d’office « influenceurs ». « Un tag est une vidéo, une image ou un texte, qui a pour particularité d’être géolocalisé et de n’être visible que dans un rayon de 100 mètres autour de son emplacement. Seuls les autres “Polymaters” situés à proximité pourront ainsi voir, commenter et partager les tags, et contacter leurs auteurs », explique Armel Satchivi à Edition Multimédi@. Seuls les autres Polymaters situés à proximité pourront ainsi voir, commenter et partager les tags, et contacter leurs auteurs. Du côté des navigateurs web cette fois, Brave permet aux utilisateurs de récupérer les tokens – des jetons – générés en l’utilisant et d’obtenir ainsi une rémunération pour les publicités dont ils autorisent l’affichage. La start-up Brave Software a été créée il y a cinq ans maintenant par Brendan Eich, qui fut cofondateur de Mozilla (Firefox) et créateur du JavaScript. Aujourd’hui, le navigateur Brave revendique près de 20 millions de « braves » par mois dans le monde (19 millions en octobre précisément, contre 12 millions en mai dernier). « Votre attention est précieuse. Gagnez de l’argent en visualisant des publicités qui respectent la vie privée, puis donnez à votre tour pour soutenir les créateurs de contenu que vous aimez », explique l’éditeur de ce navigateur open source construit à partir de Chromium de Google. Fini les publicités envahissantes en naviguant sur le Web et fini la vente des données confidentielles à des annonceurs, la plupart du temps sans le consentement explicite de l’internaute. « Avec votre ancien navigateur, vous payiez pour naviguer sur le Web de la manière suivante : votre attention était utilisée pour visualiser des publicités », rappelle la start-up californienne (basée à San Francisco). Avec le système «Brave Rewards », l’attention de l’internaute – « le temps de cerveau disponible », diraient certains – est valorisée sous la forme de jetons baptisés « Basic Attention Token » (BAT), « une nouvelle façon de valoriser l’attention en unissant les utilisateurs, les créateurs de contenu et les annonceurs ». Les jetons BAT constituent une cryptomonnaie qui s’appuie sur une plateforme décentralisée publicitaire – Ad Exchange – basée, elle, sur la blockchain open source Ethereum. Une fois inscrit, le navigateur commence à comptabilité « la quantité d’attention » accordée par l’internaute aux sites web qu’il visite. Explication du mode de fonctionnement : « Vous pouvez supprimer les sites (web) que vous ne souhaitez pas soutenir et offrir des pourboires directement à des créateurs. Toutes ces opérations sont anonymes : personne (pas même l’équipe de Brave) ne peut voir qui soutient quel site (web) », assure la plateforme.
En octobre, Brave Software a indiqué avoir reversé à ce jour quelque 12 millions de dollars à des créateurs de contenus (7) et compte plus d’un demi-million de sites web référents certifiés. Et de préciser : « Des publicités privées sont activées par défaut dans Brave Rewards, et cela vous permet de gagner des jetons BAT à chaque fois que vous visualisez une publicité. (…) Vous pouvez contrôler le nombre de publicités privées que vous souhaitez voir et gagner 70 % du revenu de la publicité que nous recevons de nos annonceurs ». C’est un peu comme accumuler des miles aériens, mais au lieu de voler l’utilisateur navigue ! « En échange de votre attention, vous accumulez des jetons pendant votre navigation. (…) Vous pouvez choisir de visualiser des publicités privées une à cinq fois par heure. Vous pouvez bien sûr aussi désactiver les publicités privées à tout moment ».

La Californie prône la « Data Dividend Tax »
En février 2019, le gouverneur de Californie, Gavin Newsom, a proposé « un “dividende de données” pour partager la richesse générée par les données personnelles avec les utilisateurs qui y ont contribué » (8). Ce projet prône une taxe numérique baptisée Data Dividend Tax (DDT), dont le modèle est présenté dans un rapport écrit par un groupe de travail indépendant. Ce document de 42 pages a été mis à jour le 6 Août dernier (9). Le fait que cet appel soit lancé par l’Etat américain des GAFAM et des Big Tech de la Silicon Valley donne une portée particulière à cette initiative. @

Charles de Laubier

Anonymisation des données personnelles : un enjeu de taille, notamment en matière de santé

Alors qu’une deuxième vague de coronavirus menace, le gouvernement croit en l’utilité des données « pseudonymisées » de son application mobile StopCovid malgré le peu d’utilisateurs. Mais le respect de la vie privée ne suppose-t-il pas une « anonymisation » ? Le dilemme se pose dans la santé.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

La crise sanitaire liée au covid-19 et le développement concomitant des outils de surveillance de l’évolution de l’épidémie ont mis en lumière les enjeux liés à l’anonymisation des données à caractère personnel et, en particulier, des données de santé. Souvent présenté par la Commission nationale de l’informatique et des libertés (Cnil) comme un moyen indispensable pour préserver la vie privée des personnes, le procédé d’anonymisation aboutit cependant nécessairement à une perte d’informations, parfois contestée par les professionnels de santé.

Pseudonymisation ou anonymisation ?
Les recommandations publiées le 19 mai dernier par la Cnil (1) à ce sujet et les débats entourant l’application mobile StopCovid – mise à disposition par le gouvernement dans le cadre de sa stratégie globale de « déconfinement progressif » – permettent de mieux appréhender ces problématiques. Si cette application mobile ne dispose d’aucune information directement identifiante comme le nom ou le prénom, elle n’est pas pour autant « anonyme » au sens de la règlementation relative à la protection des données (2). La confusion entre « données pseudonymes » et « données anonymes » demeure répandue, alors que le règlement général européen sur la protection des données (RGPD) – en vigueur depuis le 25 mai 2018 – a entériné la distinction entre ces deux notions en son considérant 26.
Comme le rappelle la Cnil, la pseudonymisation consiste à traiter les données personnelles de façon à ce que celles-ci ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations complémentaires. De manière plus concrète, ce processus consiste par exemple à remplacer des données personnelles directement identifiantes telles que le nom ou le prénom par des données indirectement identifiantes te l les qu’un alias, un numéro ou un code. La pseudonymisation constitue ainsi un outil utile pour conserver des données tout en préservant la vie privée des personnes, puisque celles-ci ne sont plus directement identifiantes. Néanmoins, l’opération de pseudonymisation étant réversible, il est possible de réidentifier ou identifier indirectement les personnes sur la base de ces données. En conséquence, les « données pseudonymes » demeurent des « données personnelles » auxquelles s’applique l’ensemble des exigences de la règlementation sur la protection des données personnelles. Au contraire, les « données anonymisées » au sens du RGPD exclut toute possibilité de réidentification des personnes. Il s’agit d’appliquer un procédé aux données personnelles pour rendre toute individualisation et toute indentification, directe ou indirecte, impossible et ce de manière irréversible et définitive. Cette distinction constitue un enjeu central, puisque les « données anonymes » ou « rendues anonymes », lesquelles, contrairement aux « données pseudonymes », ne sont pas ou plus des « données personnelles », ne sont pas soumises aux exigences du RGPD. Ce règlement européen indique, en effet, expressément qu’il ne s’applique « pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche » (3). A cet égard, il faut veiller à distinguer que, lorsqu’un procédé d’anonymisation est appliqué, c’est bien uniquement le résultat obtenu – les « données anonymisées » – qui peut être exclu du champ d’application matériel du RGPD mais non les données à caractère initialement collectées. De même, le processus d’anonymisation constitue un « traitement » qui, effectué sur des données personnelles, n’échappe pas en tant que tel aux exigences de la règlementation sur la protection des données à caractère personnel. Quelles sont au juste les techniques d’anonymisation ?

Randomisation et généralisation
Dans un avis en date du 10 avril 2014, le groupe dit de l’Article 29 – ce « G29 » ayant été remplacé depuis l’entrée en application du RGPD par le Comité européen de la protection des données (4) – proposait trois critères pour s’assurer que des données personnelles faisaient bien l’objet d’un procédé d’anonymisation et non de pseudonymisation : l’individualisation (il doit être impossible d’isoler un individu dans l’ensemble de données), la corrélation (il ne doit pas être possible de relier deux ensembles distincts de données concernant un même individu) et l’inférence (il doit être impossible de déduire une information sur un individu). Pour éliminer toute possibilité d’identification, la Cnil rappelle que deux grandes techniques d’anonymisation sont possibles. La « randomisation » qui consiste à rendre moins précises les données, par exemple en permutant certaines informations dans l’ensemble de données tout en conservant la répartition globale. La seconde technique dite de « généralisation » consiste quant à elle à modifier l’échelle ou l’ordre de grandeur des données (par exemple en ne conservant que l’année de naissance au lieu de la date précise) afin d’éviter l’individualisation ou la corrélation avec d’autres ensembles de données. Ces méthodes d’anonymisation doivent cependant être réévaluées régulièrement car les techniques et possibilités de ré identification évoluent rapidement, à mesure des avancées technologiques.

Impacts sur la vie privée
A cet égard, dans son avis « Techniques d’anonymisation » (5), le G29 indiquait déjà que « le résultat de l’anonymisation, en tant que technique appliquée aux données à caractère personnel, devrait être, dans l’état actuel de la technologie aussi permanent qu’un effacement, c’est-à-dire qu’il devrait rendre impossible tout traitement de données à caractère personnel ». En effet, des données publiées comme « anonymes » à un instant T peuvent, grâce par exemple à une nouvelle technique développée par un tiers, redevenir indirectement identifiantes. Leur publication à titre de « données anonymes », sans veiller au respect du RGPD, pourrait ainsi constituer une violation de données. Si ces procédés d’anonymisation permettent de conserver et de réutiliser des données pour des durées étendues tout en assurant le respect des droits et libertés des personnelles, reste la question de l’utilité de données anonymes, notamment dans le secteur de la recherche scientifique et médicale. Comme le démontrent les débats entourant les traitements de données personnelles mis en œuvre par le biais de l’application mobile StopCovid, l’intérêt scientifique des données anonymes – qui ont perdu tout caractère individualisant – est plus limité.
Depuis toujours la problématique d’anonymisation est très présente dans le secteur de la santé. En effet, les données relatives à la santé des personnes constituent à la fois des données personnelles particulièrement risquées en termes d’impacts sur la vie privée, mais elles constituent également un enjeu important dans le cadre de la recherche scientifique et médicale. Par exemple, dès 2004, la Cnil s’était prononcée sur la volonté de la Fédération nationale de la mutualité française (FNMF) – regroupant 540 mutuelles adhérentes dont 266 mutuelles santé – d’avoir accès sous un format anonymisé à des données figurant sur des feuilles de soins électroniques. Ce traitement devait être mis en œuvre à des fins statistiques pour étudier l’impact d’un remboursement en fonction du service médical rendu pour les médicaments. La Cnil avait autorisé le traitement en donnant des précisions et recommandations strictes sur les modalités d’anonymisation des données, les mesures de sécurité et le respect des droits des personnes concernées (6).
Dans cette lignée, fin avril 2020, la Cnil s’est prononcée favorablement à l’application mobile StopCovid déployée par le gouvernement dans le cadre de sa stratégie de déconfinement progressif – sous réserve que les données personnelles collectées soient traitées sous un format pseudonymisé, puis supprimées de 15 jours ou 6 mois selon les catégories. « La [Cnil] prend acte de ce que l’article 4 du projet de décret [décret du 29 mai 2020 publié au J.O. du 30 mai dernier (7), ndlr] prévoit une conservation des clés et des identifiants associés aux applications pendant la durée de fonctionnement de l’application StopCovid et au plus tard six mois à compter de la fin de l’état d’urgence sanitaire, et une conservation des historiques de proximité des personnes diagnostiquées ou testées positives pendant quinze jours à compter de leur émission » (8).
Cependant, le 21 juin dernier, le Conseil scientifique covid- 19 a publié un avis afin d’indiquer qu’il considérait essentiel d’appliquer l’option prévue par l’article 2 du projet de loi organisant la sortie de l’état d’urgence sanitaire permettant de conserver les données personnelles collectées par StopCovid pour une durée plus longue. Ce conseil scientifique (9) précise en outre que ces données devraient être conservées « sous une forme pseudonymisée et non simplement anonymisée, de façon à ce que les données d’un même individu, non-identifiantes, puissent tout de même être reliées entre elles (ex : documentation d’une ré-infection), ou chaînées avec des données d’autres bases » (10). Cette position illustre parfaitement les enjeux liés à l’articulation entre exploitation des données, durées de conservation et anonymisation ou pseudonymisation.

Risque de seconde vague
La position de la Cnil et l’arbitrage qui sera opéré entre respect de la vie privée et le nécessaire suivi de l’épidémie de covid-19, en particulier avec le risque d’une seconde vague, permettra d’étayer davantage les critères d’application et la distinction entre pseudonymisation et anonymisation. Au 23 juin 2020, soit en trois semaines d’existence de StopCovid, seuls quatorze cas à risque de contamination ont été détectés par l’application mobile. A cette date de premier bilan, elle a été téléchargée 1,9 million de fois, mais désinstallée 460.000 fois. Le gouvernement se dit néanmoins convaincu de son utilité, surtout en prévision de cette seconde vague. @

Aucune enquête coordonnée en Europe n’a été menée sur le scandale « Cambridge Analytica »

Plus de deux ans après l’éclatement de l’affaire « Cambridge Analytica » sur l’exploitation massive et illégale des données personnelles de dizaines de millions d’utilisateurs de Facebook à des fins de ciblages politico-publicitaires, aucune enquête n’a été menée en France par la Cnil. Surprenant.

Aux Etats-Unis, Facebook a écopé l’été dernier d’une amende record de 5 milliards de dollars infligée par la FTC (1) pour n’avoir pas géré ni protégé correctement les données personnelles de ses utilisateurs. En Grande-Bretagne, la « Cnil » britannique – ICO (2) – l’a condamné en octobre 2019 au maximum que lui permettait la loi du pays pour violation sur la protection des données, soit 500.000 livres (plus de 565.000 euros). Ces données ont notamment été exploitées en 2016 pour influencer respectivement l’élection présidentielle américaine et le référendum britannique sur le Brexit.

La Cnil n’a pas jugé bon d’enquêter
Mais bien d’autres pays ont eux-aussi enquêté sur ce siphonnage de données personnelles opéré illégalement par la société londonienne Cambridge Analytica (devenue Emerdata) sur près de 100 millions d’utilisateurs de Facebook : 50 millions aux Etats-Unis, 87 millions si l’on y ajoute d’autres pays dans le monde. Mais connaîtra-t-on jamais l’ampleur de la manipulation à portée planétaire ? En Australie, la « Cnil » australienne – OAIC (3) – a lancé en mars dernier une action judiciaire contre Facebook pour avoir transmis Cambridge Analytica les données personnelles de 311.127 Australiens (4). Au Canada, la « Cnil » canadienne – OPC (5) – a saisi en février la justice contre Facebook accusé là aussi d’avoir transmis des données privées sans autorisation à Cambridge Analytica (6).
En Europe, en dehors de la Grande-Bretagne où Cambridge Analytica avait son siège social, l’Italie – via son gendarme de la concurrence AGCM – a rappelé à l’ordre la firme de Mark Zuckerberg accusée de continuer à collecter de façon non transparente des données personnelles en violation de ses engagements pris en novembre 2018 – assortis à l’époque de deux amendes pour un total de 10 millions d’euros (7). En Espagne, comme par ailleurs au Brésil, Facebook a dû aussi mettre la main au portefeuille à la suite du scandale « Cambridge Analytica ». Et en France ? Quatre jours après ce samedi 17 mars 2018 où l’affaire « Cambridge Analytica » a éclaté au grand jour (8), la Cnil (9) publiait un communiqué disant que « l’ICO, la Cnil du Royaume-Uni, enquêtait sur le sujet » (10). Contacté par Edition Multimédi@ pour savoir auprès de sa présidente Marie-Laure Denis (photo de gauche) si la Cnil avait mené une enquête en France pour y connaître l’impact de ce scandale retentissant, un porte-parole nous a répondu que non : « Tant au regard du nombre de ressortissants français concernés, que des cas d’usage des données en cause (Brexit et élections américaines), la France était peu concernée et la Cnil a ainsi préféré suivre le dossier dans le cadre de la coopération européenne en lien avec l’ICO plutôt que de porter sa propre procédure ». On connaît la suite : la « Cnil » britannique a donc mis à l’amende Facebook. Mais aucun rapport d’enquête n’a été fourni sur la France, où a tout de même eu lieu la campagne présidentielle de 2017 avec son lot de fake news (compte bancaire aux Bahamas d’Emmanuel Macron) et d’ingérences étrangères en ligne (présumées d’origine russes). Cambridge Analytica a-t-elle de Londres tiré les ficelles des réseaux sociaux pour orienter l’électorat français ?
Facebook a-t-il facilité l’exploitation des données de ses utilisateurs, au nombre de plus de 35 millions en France ? Faute d’en savoir plus, Edition Multimédi@ s’est tournée vers la « Cnil » irlandaise – la DPC (11) – puisque Facebook a son siège européen à Dublin, capitale d’Irlande. Mais là aussi, pas d’enquête sur le scandale « Cambridge Analytica », alors que l’on aurait pu penser que le DPC soit le « chef de file » de ses homologues européens – dont la Cnil en France – pour mener des investigations. Graham Doyle, adjoint à la DPC de la commissaire Helen Dixon (photo de droite), a justifié l’absence d’enquête de la « Cnil » irlandaise sur ce scandale : « Nous n’avons pas ouvert d’enquête sur Facebook concernant le problème de Cambridge Analytica, car il s’est produit avant l’introduction du RGPD et du mécanisme du guichet unique. La DPC irlandaise est devenue l’autorité de contrôle chef de file de Facebook avec l’introduction du RGPD le 25 mai 2018. Avant cette date, il n’y avait pas de chef de file européen ».

Pas d’« autorité chef de file » avant mai 2018
Le règlement général sur la protection des données (RGPD) prévoit en effet, dans son article 56, que la « Cnil » du pays européen où est basé le siège du responsable du traitement des données à caractère personnel (ou du sous-traitant) – en l’occurrence Facebook en Irlande – est compétente pour agir en tant qu’« autorité de contrôle chef de file » (12). « C’est l’autorité irlandaise qui est chef de file sur cette affaire », nous a répondu la Cnil. Faute d’enquête coordonnée en Europe sur le scandale « Cambridge Analytica », le numéro un mondial des réseaux sociaux s’en tire à bon compte. @

Charles de Laubier

Cambridge Analytica n’en finit pas de révéler ses secrets et Facebook d’en payer les pots cassés

Depuis deux ans, depuis ce lundi noir du 19 mars 2018 pour Facebook, la firme de Mark Zuckerberg – qui avait reconnu ce jour-là la collecte de plus de 50 millions d’utilisateurs du réseau social par la société Cambridge Analytica à des fins électorales aux Etats-Unis – continue d’être sanctionnée.

L’ a f faire « Cambridge Analytica » a été révélée le samedi 17 mars 2018 par le quotidien américain The New York Times aux Etats-Unis et par l’hebdomadaire dominicale britannique The Observer en Grande-Bretagne – ce dernier ayant le même propriétaire que le quotidien The Guardian, lui aussi contributeur. Ces trois journaux se sont appuyés sur les informations d’un Canadien, Christopher Wylie (photo de gauche), qui se présente depuis comme le « lanceur d’alerte » de l’affaire.

5 Mds $ d’amendes, pour l’instant
Mais il n’est pas le seul ancien collaborateur de Cambridge Analytica à avoir parlé puisque l’Américaine Brittany Kaiser (photo de droite) se présente elle aussi comme « lanceuse d’alerte » de ce même scandale. Les révélations faites ce samedi-là font l’effet d’une bombe, dont l’image de Facebook et la confiance envers le numéro un mondial des réseaux sociaux portent encore les séquelles : la société londonienne, spécialisée dans la collecte et l’exploitation massive de données plus ou moins personnelles à des fins de ciblage politique (en faveur du Parti républicain américain), est accusée d’avoir siphonné les données de plus de 50 millions d’utilisateurs de Facebook à leur insu. Elles ont servi à influencer la campagne présidentielle de Donald Trump en 2016, Cambridge Analytica ayant en outre été financé par le milliardaire américain Robert Mercer via son fonds spéculatif (hedge fund) Renaissance Technologies.
The Observer a affirmé il y a deux ans que Steve Bannon, alors conseiller technique de Donald Trump (dont il a été le directeur de campagne présidentielle) jusqu’à son éviction de la Maison Blanche à l’été 2017, a été l’un des dirigeants de Cambridge Analytica et par ailleurs patron du site web ultra-conservateur proche de l’extrême droite Breitbart News. Les révélations citent les propos de Christopher Wylie, lequel a travaillé pour la société londonienne incriminée et sa maison mère SCL Group où il est identifié dès mai 2017 par The Guardian comme « directeur de recherche » (1). Il vient de publier « Mindf*ck » chez Penguin Random House (2), tandis que Brittany Kaiser, elle, l’a devancé en faisant paraître en janvier « L’affaire Cambridge Analytica » chez HarperCollins (3). C’est donc le lundi suivant ce breaking news retentissant, soit le 19 mars 2018, que la firme de Mark Zuckerberg accuse le coup en Bourse : son action a chuté lourdement de près de 7% en une séance à Wall Street, et elle a continué de plonger de 15 % au total jusqu’au pire de la sanction boursière le 6 avril 2018. C’est que les régulateurs américain FTC (4) et britannique Information Commissionner’s Office (ICO) avaient ouvert chacun une enquête dès le 20 mars 2018. On connaît la suite : Facebook a été condamné au début de l’été 2019 par la FTC au paiement d’une amende record de 5 milliards de dollars, pour n’avoir pas géré ni protégé correctement les données personnelles de ses utilisateurs, tandis que la « Cnil » britannique (ICO) l’a condamné au maximum que lui permettait la loi britannique pour violation sur la protection des données, soit 500.000 livres (plus de 565.000 euros). « La société Cambridge Analytica s’est livrée à des pratiques trompeuses pour recueillir des informations personnelles auprès de dizaines de millions d’utilisateurs de Facebook à des fins de profilage et de ciblage des électeurs. Il ressort également qu’elle s’est livrée à des pratiques trompeuses dans le cadre du Privacy Shield (5) entre l’Union européenne et les Etats- Unis », a conclu la FTC à l’issue de sa vaste enquête bouclée en décembre dernier (6).
Mais la firme de « Zuck », dont finalement 87 millions de ses utilisateurs (américains mais aussi ailleurs dans le monde) ont été victimes des pratiques illégales de Cambridge Analytica, reste encore aujourd’hui enlisée dans des procès et mise à l’amende pour ce scandale planétaire à la hauteur du tentaculaire réseau social de 2,5 milliards d’utilisateurs. Dernière plainte en date : le 9 mars dernier, après deux ans d’enquête, la « Cnil » australienne – l’OAIC (7) – a lancé une action judiciaire contre Facebook pour avoir transmis Cambridge Analytica les données personnelles de 311.127 Australiens transmises (8). Un mois auparavant, le 6 février, c’était le Commissariat à la protection de la vie privée du Canada (OPC) qui a saisi la justice canadienne contre Facebook pour là aussi transmission de données privées à Cambridge Analytica (9).

Répercutions : Italie, Espagne, Brésil, …
En Italie cette fois, le gendarme de la concurrence AGCM a mis en garde la firme de Mark Zuckerberg qui, a-t-il constaté, continue à collecter de façon non transparente des données personnelles et à ne pas respecter ses engagements de novembre 2018 – assortis à l’époque de deux amendes pour un total de 10 millions d’euros (10). En Espagne et au Brésil, Facebook a dû aussi mettre la main au portefeuille, passant d’« ami » à « ennemi » des données personnelles. @

Charles de Laubier