"Faut-il briser le monopole de mastodontes comme Facebook? Je pense que non"

Le nom ne vous dit peut-être rien. Yves-Alexandre de Montjoye est plutôt un homme de l’ombre. Normal pour quelqu’un qui travaille sur la vie privée. Pourtant, cet ingénieur belge fait partie du cercle restreint de la très puissante commissaire européenne à la Concurrence, Margrethe Vestager, un nom qui, pour le coup, est connu, puisqu’il fait même trembler les géants du numérique.

Il faut dire que, malgré son jeune âge (35 ans à peine), Yves-Alexandre de Montjoye affiche un solide pédigrée. Il a cumulé en 6 ans un ingéniorat à l’UCL avec un diplôme de l’École centrale à Paris et un autre à la KULeuven ("L’UCL a été très généreuse avec moi…"), avant de s’envoler vers le sud des Etats-Unis pour réaliser son mémoire au Santa Fe Institute et se jeter, à l’est cette fois, dans un doctorat de 5 ans au prestigieux Media Lab du MIT. "Un centre de recherche atypique", nous dit-il humblement à propos de ce dernier, qui lui a permis d’affûter ses armes sous la houlette du professeur en informatique Alex "Sandy" Pentland, considéré par le magazine Forbes comme l’un des sept "big data scientists" les plus puissants au monde aux côtés de Larry Page (Google) et de la démocrate Elizabeth Warren (qui, au paroxysme de la crise financière, avait développé un algorithme de données pour "surveiller les apprentis sorciers de Wall Street").

Bardé de cet épais CV, Yves-Alexandre de Montjoye a conseillé la Bill and Melinda Gates Foundation ainsi que les Nations Unies, et après un passage par Harvard pour un post-doc, il enseigne aujourd’hui à l’Imperial College de Londres, "ce qui m’a permis de revenir en Europe et de créer un laboratoire de recherche sur ce que l’on appelle la Computational Privacy". Pour un retour en Belgique? Non, pas tout de suite en tout cas. Sauf ceci: le mois passé, le parlement belge l’a nommé expert externe pour conseiller la nouvelle Autorité de la protection des données.

Mais ce qui, aujourd’hui, nous amène à solliciter notre interlocuteur, ce sont les études qu’il a produites et dont les conclusions donnent froid dans le dos: 4 données spatio-temporelles révélées par votre téléphone portable suffisent à vous identifier parmi une communauté d’un million et demi de personnes. Mêmes conclusions au départ d’une base de données d’un million de cartes de crédit. De quoi lever le voile sur la puissance que nous confions, chaque jour, aux géants du numérique. Yves-Alexandre de Montjoye a coécrit un rapport à la demande de Margrethe Vestager, et le lui a remis le mois passé. Il propose un chemin à suivre pour éviter que ce que nous essaimons quotidiennement ne se retourne un jour contre nous.

Ne doit-on pas avoir peur de la puissance de certains géants numériques?

On donne souvent l’impression que la situation est binaire: soit vous avez le bénéfice de la big data, mais pas de vie privée, soit c’est le contraire. C’est absolument faux. Dans nos travaux, on s’inspire de la sécurité informatique: une red team qui attaque un jeu de données ou un système et une blue team qui le défend. Notre red team travaille ainsi avec des datasets prétendument anonymes et montre qu’ils peuvent être réidentifiés, ou encore attaque des systèmes informatiques censés protéger les données, mais qui présentaient en réalité des vulnérabilités. Ensuite, armés de ses informations nous proposons des meilleures solutions techniques et légales pour protéger les données. Il est possible d’utiliser pleinement le big data sans devoir abandonner notre vie privée, pour autant qu’on le veuille!

Vous avez montré qu’avec seulement 4 données spatio-temporelles, on était en mesure de nous identifier. N’est-ce pas une guerre perdue d’avance?

C’est là que ça devient intéressant. Il y a vingt ans, comment faisait-on? On avait un dataset, on rajoutait du bruit, on l’anonymisait, on faisait toutes sortes de manipulations pour qu’il soit impossible de retrouver l’identité des individus. Ça nous permettait de faire des études médicales ou de statistiques nationales comme celle de Piketty sur le pourcentage de richesse que détient le premier pour-cent de la population la plus riche, etc. Tout cela sans dévoiler aucune information sur une personne en particulier. Ça marchait plutôt bien il y a 20 ans. Mais à cette époque, on avait à peine Internet et on partageait les données en envoyant des disques durs par la poste. Ce que montrent nos travaux, c’est que cette anonymisation traditionnelle ne fonctionne plus. C’est une question de taille des données. Là où on remplissait à l’époque un formulaire avec 10 questions, nos téléphones portables divulguent maintenant des milliers de points de données par jour.

Et concrètement, comment permettre l’utilisation anonyme des données?

Il n’y pas de solution parfaite mais, en utilisant les outils modernes, on peut arriver à un trade-off, c’est-à-dire un accord entre l’utilité, donc la capacité de développer des services à partir de l’utilisation des données, et la protection de la vie privée. Alors qu’avec les dispositions actuelles il faut choisir entre utiliser les données et protéger la vie privée, avec des nouvelles solutions techniques développées ces 5 dernières années, on peut trouver une réelle balance.

Et une fois ces armes développées, comment s’assurer que les géants du numérique les utilisent à bon escient?

Cela n’est pas facile car cela nécessite un changement de mentalité: considérer techniquement la protection de la vie privée comme une question de sécurité informatique. Le RGPD (Règlement Général sur la Protection des données, entré en vigueur en mai 2018, NDLR) n’est pas parfait, mais c’est une excellente avancée. Fondamentalement, c’est un domaine dans lequel il faut de la régulation et des mécanismes de contrôle pour s’assurer que les choses sont implémentées correctement.

L’approche américaine qui consiste à donner la responsabilité à l’individu est mauvaise et ne marche pas. Personne n’a le temps de lire les conditions générales ou d’essayer tant bien que mal de comprendre quelles données sont collectées et pourquoi. Pour construire de la confiance dans l’économie numérique, il faut des législations intelligentes qui nous permettent de faire des choix tout en garantissant un niveau minimum de sécurité.

Depuis l’introduction du RGPD, on a l’impression qu’on a tout le temps des pop-ups. Finalement, on ne les lit plus…

C’est dommage: pour beaucoup de gens le RGPD, ce sont les pop-ups. Ce n’est en fait qu’une partie minime et négative, mais visible. La directive apporte beaucoup plus que ça notamment au niveau des droits des individus. À peine un an s’est écoulé depuis l’instauration du RGPD. On commence maintenant à voir l’impact et les premières amendes malheureusement nécessaires. La France vient d’en infliger une à Google, dans le cadre du RGPD, pour le consentement sur Android. Une autre a été donnée au Danemark: elle visait une société de taxis qui n’anonymisait pas correctement les données de ses utilisateurs. Ça va prendre encore un peu de temps, mais les pratiques changent en Europe comme ailleurs dans le monde.

Je reviens des Etats-Unis et cela m’a frappé de constater à quel point tout le monde parle du RGPD. La Californie vient de faire passer une loi qui ressemble fortement à ce qu’on fait en Europe. À Washington il y a énormément d’intérêt pour une législation au niveau fédéral. C’est la preuve qu’on va dans la bonne direction, et l’Europe a vraiment fait œuvre de précurseur dans le domaine.

Dans le RGPD, on parle de la portabilité des données qui permet de transférer ses données d’un service à l’autre. Est-ce suffisant?

Pour rappel, le droit à la portabilité du RGPD permet de télécharger les données ou de les transférer d’un service à l’autre. C’est un droit très important. La question se porte cependant sur ce qui entre dans la portabilité des données. Pour les données dites "volunteered" que vous avez entrées volontairement, le droit à la portabilité est clair. Les données dites "observed", celles qui sont collectées de manière plus automatique, les chansons que vous avez "likées" par exemple ou les données collectées par votre téléphone, sont généralement aussi portables. Pour les données dites "inferred", qui ont été créées par le fournisseur de services, par exemple votre profil musical, le droit à la portabilité n’existe pas. Dans notre rapport, nous mettons cependant en avant la possibilité d’obliger les sociétés en position dominante à permettre la portabilité de toutes vos données.

Mais que fait l’ancien fournisseur des données. Peut-il en conserver une copie?

Les données originales existent toujours, à moins que vous ne demandiez qu’elles soient effacées. Il y a un droit à l’effacement, sauf pour des données à conserver dans le cadre de l’activité de la société, comme en cas de fraude par exemple.

On a beaucoup parlé des sociétés, mais peut-on donner tout simplement plus de pouvoirs aux utilisateurs pour la gestion de leurs propres données?

Absolument, et c’est notre approche. Une fois que l’individu a accès à ses données, il a le pouvoir d’en faire ce qu’il veut: y donner accès à d’autres services, mais aussi permettre l’utilisation de ses données à des fins de recherche médicale par exemple. J’ai développé en 2013 au MIT un système de "personal data store" qui permettait de le faire.

Dans le rapport, nous discutons notamment de la façon de favoriser l’émergence de "market-based solutions" pour l’accès aux données pour l’intelligence artificielle: permettre à une société qui veut lancer un nouveau produit basé sur l’AI de convaincre les utilisateurs d’utiliser leur droit à la portabilité pour donner accès à leurs données, le tout évidemment en combinant cela avec une structure légale et technique permettant de les protéger. Au vu de l’importance des données, souvent personnelles, pour le développement de l’AI et des développements en Chine et aux Etats-Unis, il est temps de développer une approche européenne à la fois efficace et consistante avec nos valeurs fondamentales.

Mais nos données sont tellement nombreuses, elles courent sur des pages et des pages. Comment faire le tri entre ce qu’on veut bien donner et ce qu’on veut garder?

Je suis d’accord avec vous. On ne doit pas s’attendre à ce que tous les utilisateurs fassent ce travail. Mais on n’en est qu’à nos débuts. Ici à Londres, il y a des start-ups qui naissent et qui vous aident à faire ce tri. Cela évolue vite.

On entend souvent dire que ces barrières que l’Europe met autour de la gestion des données sont un frein pour l’innovation. Est-ce lié à notre culture?

On entend effectivement tout le temps cela. Pour moi ce n’est pas le cas. Créer de la confiance dans la gestion de nos données est "good for business". C’est comme créer la confiance dans l’assurance, le secteur bancaire ou de la santé. La vie privée, c’est notamment créer la confiance dans l’économie numérique. Regardez Cambridge Analytica. Le scandale a eu un impact énorme sur l’économie des données. Il est temps de recréer de la confiance.

Comment allons-nous pouvoir nous assurer que des mastodontes comme Facebook, américains en l’occurrence, suivent bien le règlement européen?

Ils doivent le suivre. Pas mal de groupes américains ont même déjà choisi d’adopter le RGPD de manière globale, pour tous leurs clients dans le monde. Cameron Kerry (qui dirigeait le département du Commerce dans l’administration Obama) a récemment publié un article dans lequel il dit que les discussions actuellement en cours à Washington sur la protection de la vie privées auraient été impensables du temps où il était dans l’administration Obama. Il y a eu un véritable changement de mentalité.

Facebook fait partie de notre vie. Si on va sur Instagram, c’est Facebook; sur WhatsApp, c’est encore Facebook. Difficile de l’éviter. Si Facebook n’applique pas les règles, faut-il dès lors songer à casser son monopole?

A propos de concurrence et vie privée, il y a pour le moment un cas en Allemagne mené par le Bundeskartellamt, l’autorité de concurrence (interdisant Facebook de croiser les données de ses différentes applications sans le consentement des utilisateurs, NDLR). A ses yeux, posséder un compte Facebook n’est pas un vrai consentement dans la mesure où les consommateurs n’ont pas le choix. On va voir comment ça évolue mais c’est très intéressant. On a eu des cas similaires relatifs à la vie privée aux Etats-Unis: est-on en droit de s’attendre à un respect de la vie privée sur un téléphone portable? Un jugement a répondu par l’affirmative: on ne peut pas obliger les citoyens à choisir entre utiliser de téléphone portable et protéger leur vie privée.

Faut-il briser le monopole de mastodontes comme Facebook? Je pense que non. Elizabeth Warren, l’une des principales candidates démocrates à la présidence, a récemment dit qu’il était temps de "casser les big techs". C’est sexy d’un point de vue politique mais, de mon point de vue, cela ne fait pas vraiment avancer le débat. S’assurer d’une réelle interopérabilité des données est par exemple une solution beaucoup plus efficace et moins lourde pour promouvoir la concurrence. Vous n’êtes pas freiné dans votre choix d’un service: peu importe où vos données se trouvent, si vous voulez utiliser un service celui-ci doit pouvoir accéder à vos données. C’est très simple, mais extrêmement puissant. Cette notion d’interopérabilité des données, sous le contrôle strict de l’utilisateur, est une des recommandations du rapport que nous avons remis à la commissaire Verstager. Le but est de faire en sorte que la concurrence se fasse au mérite: un service gagne parce qu’il est meilleur, parce qu’il a le meilleur algorithme, et non pas parce qu’il est le seul à avoir accès à vos données. C’est le meilleur combat contre les monopoles.