Retour sur

Une date, un événement, un concept…

Accueil - Exclus Web - Retour sur - Sacrées données!

Sacrées données !

Lucie Barridez · Déléguée « Étude & Stratégie » au CAL/COM

Mise en ligne le 25 mai 2023

Lorsque nous acceptons la collecte et le partage de nos données personnelles, peu d’entre nous se posent la question de leur protection. Pourtant, celles-ci regorgent d’informations essentielles sur notre identité, notre mode de vie et, plus important encore, sur nos convictions personnelles et opinions politiques. Si elles venaient à tomber entre de mauvaises mains, les conséquences sur nos libertés seraient délétères. Mais doit-on prendre ce risque au sérieux ? Les législations actuelles nous prémunissent-elles d’un tel danger ? Un an après notre dossier « Bonjour datas, adieu vie privée ! , nous proposons un nouveau point sur le sujet.

Nos données personnelles constituent le nouvel or noir des entreprises privées et des organes politiques qui peuvent les utiliser pour induire auprès de nous des comportements attendus. Leur protection et leur confidentialité sont donc capitales pour la garantie des libertés. Pourtant, tout se passe comme si cette question était anecdotique. Du côté des citoyens, nous sommes nombreux à partager nos informations personnelles sans trop nous inquiéter. Nous savons que nous devons maintenir notre vigilance, mais celle-ci s’estompe à mesure que nous nous confrontons aux offres toujours plus alléchantes du marché. Qu’il s’agisse d’objets connectés, des réseaux sociaux, des plateformes de streaming, etc., la tentation est trop grande pour renoncer à ces services dont l’accès est conditionné par le partage de nos données. Qui plus est, cette irrésistible attractivité se double d’un sentiment parfois aveugle envers les autorités censées assurer la protection de nos informations personnelles.

L’Autorité de protection des données :
une histoire à la belge

« Bonjour datas, adieu vie privée ! » : une tartine a été consacrée à l’exploitation des données à caractère personnel dans le no 505 d’Espace de Libertés.

Créée en 2017 au sein de la Chambre des représentants, l’Autorité de protection des données (APD) est l’organe de contrôle indépendant chargé de garantir la protection des données à caractère personnel des citoyens et de veiller au respect du Règlement général sur la protection des données (RGPD) de l’Union européenne.

Ça, c’est sur papier. Car depuis 2021, l’APD est dans la tourmente, précisément en raison d’un manque d’indépendance et de ses multiples infractions au RGPD pointées par la Commission européenne. L’homme au centre des premières polémiques n’était autre que Frank Robben. Surnommé le « Big Brother belge », il assumait une combinaison très surprenante de casquettes : patron de la Banque Carrefour de la Sécurité sociale, d’eHealth mais aussi membre du centre de connaissances de l’APD. Qui plus est, en pleine crise de la Covid-19, il était également membre de la task force Data Against Corona.

Ainsi, Frank Robben endossait un rôle important à la fois dans plusieurs organismes chargés de collecter et traiter nos données privées, mais aussi au sein de l’autorité chargée de contrôler leur respect du règlement en matière de protection des données. Il y avait donc là de sacrés conflits d’intérêts. Il a toutefois démissionné peu de temps après que la Belgique a été mise en demeure par la Commission, ce qui a permis à notre  pays d’échapper à la justice de l’UE.

Mais c’était sans compter sur la majorité Vivaldi qui, entre-temps, avait préféré licencier le président de l’APD David Steven ainsi que la codirectrice et lanceuse d’alerte Charlotte Dereppe, celle-ci ayant dénoncé les dysfonctionnements de l’APD. Or le gouvernement n’est pas censé exercer un tel contrôle sur la direction de l’APD. Cela a donc valu à la Belgique une nouvelle mise en demeure pour infraction au RGPD.

On aurait pu espérer que le dernier projet de réforme de l’APD du secrétaire d’État à la Digitalisation Mathieu Michel suffirait à renforcer son indépendance. Mais paradoxalement, l’avant-projet de loi a été vivement critiqué sur ses risques d’érosion de l’indépendance de l’APD et de contrôle renforcé par le Parlement. En cause, l’irrévocabilité des directeurs et l’adjonction d’experts et d’organismes extérieurs qui autoriserait le retour de lobbyistes du secteur public. Son débat à la Chambre a ainsi été reporté plusieurs fois et n’a toujours pas été voté.

Cette histoire, qui ne connaît pas encore de fin heureuse, a toutefois le mérite de mettre davantage notre vigilance en alerte. Car sans tomber dans la totale paranoïa, nous constatons qu’il ne vaut mieux pas s’en remettre entièrement à l’APD pour protéger nos données personnelles puisque celle-ci souffre toujours de failles qui autorisent des formes d’ingérence.

En Belgique, la sécurité offerte par l’Autorité de protection des données est loin d’être sans faille.

© Sdecoret/Shutterstock

Les données des Belges
au cœur des conflits communautaires

Et comme si les péripéties de l’APD ne suffisaient pas, il semble que la Flandre profite de cet affaiblissement pour imposer une régionalisation de la protection de la vie privée avec la création de sa propre autorité de protection des données, la Vlaamse Toezichtcommissie. Elle a toutefois été rappelée à l’ordre par la Cour constitutionnelle sur son obligation de passer par l’APD. Néanmoins, cette tentative paraît s’inscrire dans un débat politique plus large sur la réforme de l’État. Élise Degrave, experte en e-gouvernement et protection de la vie privée, a récemment dévoilé la menace qui plane sur les données de vaccination des Belges toujours stockées en Flandre. Interviewée en juillet 2022 par la RTBF, elle énonçait quelques craintes : « Quand il va falloir récupérer les informations des Wallons et des Bruxellois, si elles sont en Flandre, ça pourrait servir de monnaie d’échange dans des négociations intercommunautaires. Je ne dis pas que c’est ça que certaines personnes ont en tête, mais c’est techniquement possible. Or ce qui est techniquement faisable n’est pas nécessairement démocratiquement acceptable. »1

Le RGPD, la fausse bonne solution européenne

Étant donné les failles de la protection des données en Belgique, il serait sans doute légitime de reporter nos espoirs sur la vigilance de l’Union européenne. Et pour cause, celle-ci a adopté en 2018 une législation très stricte appelée « Règlement général sur la protection des données » (le fameux RGPD). Il impose de nombreuses règles sur la collecte, le traitement et le stockage des données personnelles, ainsi que des sanctions sévères pour les entreprises qui ne les respectent pas. Mais comme l’a démontré le Centre d’Action Laïque dans une carte blanche2 parue en février 2023, tout le paradoxe est que ce règlement rend possible une utilisation abusive de nos données par un forcing insidieux de notre consentement.

L’exemple le plus flagrant est celui des cookies qui conditionnent notre accès à de multiples sites Internet et dont le rôle est justement de stocker nos données à des fins d’amélioration de navigation, mais aussi et surtout commerciales. Le choix nous est toujours laissé de les accepter ou non, mais peut-on encore parler de choix lorsque nous sommes privés d’accès au site Web en cas de refus ? L’effet de ce RGPD est donc surprenant : au lieu de limiter les collectes et utilisations abusives, il nous laisse endosser l’entière responsabilité de l’usage de nos données, sans que nous puissions réagir, sinon à nous passer d’Internet.

Le RGPD n’a pas révolutionné comme annoncé la protection des données à caractère personnel : les datas des Européen.ne.s circulent toujours en masse vers le reste du monde.

© Sdecoret/Shutterstock

En dehors de l’Union européenne : le flou artistique

Enfin, un dernier problème auquel nous nous heurtons en matière de protection des données est lorsque celles-ci sont stockées sur des serveurs étrangers. Cela est le cas quand nous consultons des réseaux sociaux comme TikTok ou Facebook, mais aussi lorsque nous utilisons des objets connectés en tout genre (smartphone, télévision, aspirateur, montre, enceinte, etc.). Ces objets devenus omniprésents dans notre quotidien collectent bon nombre d’informations sur nos habitudes, nos envies, nos opinions. Or ces objets proviennent souvent de Chine ou des États-Unis. Dès lors, nous devons toujours avoir en tête que leurs normes en matière d’utilisation des données obligent les entreprises à collaborer avec les services de renseignement nationaux. Et le risque d’utilisation abusive de nos données est encore plus prégnant venant de Chine puisque son gouvernement exerce de plus fortes pressions sur les sociétés. De cette façon, le régime autoritaire chinois a la possibilité de récolter des données biométriques et de pratiques culturelles entre autres, et, on peut le soupçonner, d’identifier ses opposants même en dehors de ses frontières.

La vigilance est de mise !

Vous l’aurez compris, nous devons rester vigilants lorsqu’il s’agit de partager nos données. D’abord parce que la législation présente de nombreuses failles tant du côté belge que du côté européen, mais aussi parce que nos données privées en disent long sur nos modes de penser et de fonctionner. Étant acclimatés à notre démocratie libérale, nous sommes nombreux à estimer que si nous n’avons rien à nous reprocher, le traitement et la surveillance de nos données ne sont pas un problème. Mais qu’en est-il lorsque ce sont des États aux valeurs profondément différentes des nôtres qui collectent nos informations ? Et quels dangers si nos démocraties libérales devaient elles-mêmes se muter en régimes autoritaires ?

  1. Philippe Laloux, « Comment la Flandre fait le forcing pour régionaliser la vie privée », dans Le Soir, 16 mars 2023.
  2. Centre d’Action Laïque. « De l’intérêt d’une “Journée de la protection des données” », 27 janvier 2023.

Partager cette page sur :