Entre les juristes qui fuient à la vue d'un ordinateur et les geeks qui se soucient peu du législatif, Elise Degrave s'est parfois sentie seule dans son champ de recherche, le droit du numérique. Pas celui qui régit les Gafam (ou qui devrait), mais celui qui s'applique à l'Etat. Ou qui devrait tout autant. Car en la matière, l'utilisation de nos données personnelles progresse bien plus vite que les lois destinées à protéger notre vie privée. Le coronavirus l'a plus que jamais mis en évidence. Et la chercheuse de l'UNamur met plus que jamais en garde. Contre la technocratie, mais pour la démocratie.
...

Entre les juristes qui fuient à la vue d'un ordinateur et les geeks qui se soucient peu du législatif, Elise Degrave s'est parfois sentie seule dans son champ de recherche, le droit du numérique. Pas celui qui régit les Gafam (ou qui devrait), mais celui qui s'applique à l'Etat. Ou qui devrait tout autant. Car en la matière, l'utilisation de nos données personnelles progresse bien plus vite que les lois destinées à protéger notre vie privée. Le coronavirus l'a plus que jamais mis en évidence. Et la chercheuse de l'UNamur met plus que jamais en garde. Contre la technocratie, mais pour la démocratie.Depuis le début de la pandémie, on n'a jamais autant évoqué la gestion des données personnelles par l'Etat. Une problématique qui n'est pourtant pas neuve... La mise en place des outils Covid a donné un important coup de projecteur. A commencer par le traçage, lorsqu'on a demandé aux gens de révéler qui ils avaient croisé. Puis il y a eu l'application Coronalert. Chacun s'est retrouvé dans la situation de devoir décider, seul, s'il la téléchargeait ou pas, sans en connaître réellement les risques, l'efficacité... Là, on s'est rendu compte que l'Etat collectait des données. Que ce n'était pas la première fois et qu'elles touchaient vraiment à notre vie. Sans qu'il y ait de débat public, éclairant, sur la question, si ce n'est sur Twitter et les plateaux télé. Tout cela a engendré de l'angoisse. Vous dites que la vie privée est une liberté mal comprise. Pourquoi? Le droit de se rassembler, d'aller et venir, on comprend bien ce que c'est, surtout quand on nous l'interdit. On ne perçoit pas aussi concrètement la vie privée. Donc, quand on y porte atteinte, on ne le ressent pas plus d'emblée. C'est une liberté invisible et pourtant, à mes yeux, elle est archi-importante, car elle est le socle des autres libertés. Par exemple, si vos données de santé sont mal traitées, ça peut créer des discriminations, empêcher d'obtenir tel emploi, de se rendre à tel endroit parce qu'on souffre d'une maladie, etc. La notion même de donnée personnelle peut sembler floue. Moi, citoyenne belge, quelles sont les données me concernant qui sont en possession de l'Etat et pourquoi? Dès notre naissance, ou plutôt quelques jours après lorsque les parents nous déclarent à la commune, nous faisons notre entrée dans les données de l'Etat. Une étape nécessaire, qui confère une existence civique. Le registre national est donc notre première base de données. Créée un peu dans l'ombre, dans les années 1960, puis encadrée par une loi en 1983. Tout le passé citoyen s'y retrouve: la date de naissance, la filiation, les adresses... Il est d'ailleurs tout à fait possible, en ligne, de vérifier quelles administrations ont consulté ces données au cours des six derniers mois. Malheureusement, cet outil n'a pas été dupliqué pour les autres bases de données. Qui peuvent concerner nos revenus, notre composition de famille, l'immatriculation de notre véhicule... L'Etat enregistre tout un tas de données, pour nous rendre service, et c'est tant mieux! Grâce à ça, on va recevoir des déclarations fiscales préremplies, des allocations familiales, un rappel pour le contrôle technique... Tout est encadré par des lois, qui déterminent ce qui peut être enregistré, où et, surtout, pourquoi. C'est l'idée de base. La Covid a mis en évidence que l'Etat s'en est progressivement éloigné, en réutilisant ces données pour en faire autre chose... Ça se dessine depuis des années et c'est inquiétant, car ce n'est pas dans le pacte initial, selon lequel un citoyen donne des informations en échange de quoi les pouvoirs publics le contrôlent et lui rendent des services. Mais il y a désormais un glissement: ces données sont réutilisées à des fins qui n'étaient pas prévues au départ. Et ça, ça donne tout de même l'impression du banquier qui se barre avec le coffre! Une réutilisation pour en faire quoi, par exemple? Prenez le coronavirus. Au début, on a dit aux gens "dites-nous qui vous avez croisé pour qu'on lutte contre le virus". Mais, maintenant, ces mêmes données peuvent être utilisées par la police pour contrôler le respect d'une quarantaine! D'un objectif de solidarité, on passe à un objectif de surveillance. Un autre exemple, datant de 2016, qui avait beaucoup fait réagir à l'époque de sa mise en oeuvre en 2013: le contrôle des domiciliations fictives, à savoir un chômeur qui va faussement se déclarer isolé pour bénéficier d'une allocation supérieure. L'Etat croise ces informations avec les consommations d'eau et d'électricité. Si elles s'écartent d'une certaine moyenne, on considère que la personne ne vit pas seule. Le secteur social critique fortement cette mesure, car les personnes sans emploi vivent davantage dans des logements insalubres, où il y a des fuites d'eau et où il est nécessaire de surchauffer. Certains sont donc contrôlés inutilement. Vous avez également travaillé sur Oasis, un outil "secret", qui est une autre illustration de cette réutilisation. Au départ, quand je suis tombée sur ce nom dans des documents de l'administration, je me suis dit "mais pourquoi l'administration écrit-elle 50 pages sur une boisson?" (rires). Ce fameux outil Oasis a été instauré sans loi, sans arrêté royal! Il mélange dans une très grande base de données des tas d'informations venant des SPF Sécurité sociale, SPF Emploi, de l'ONSS... On y applique des algorithmes qui vont être chargés de trouver des personnes susceptibles de fraude. Par exemple, un entrepreneur qui aurait embauché beaucoup de personnel sans s'acquitter de ses charges ONSS. Ces deux infos vont déclencher des alarmes. Quand j'ai fait une demande de renseignements auprès de l'administration, on m'a refusé l'accès. Je n'ai pu en savoir plus que grâce à des fuites internes. Comment est-il possible que ce genre d'outils puisse être utilisé sans qu'aucune loi n'ait été votée? C'est possible car des personnes arrivent avec une "super" idée et on leur fait confiance. On bascule dans la technocratie. Le droit du numérique est une matière difficile, un ministre va avoir tendance à déléguer... Et puis, lutter contre la fraude est légitime. Alors, quand des solutions clé sur porte sont présentées, on "oublie" qu'il faut passer par une loi. Le numérique a longtemps été considéré comme une simple modernisation du fichier papier. Sans se rendre compte que ça portait atteinte aux libertés. Ou en voulant l'oublier. Car lors des débats autour du registre national, dans les années 1980, il y avait déjà de très belles réflexions concernant la vie privée. Ces technocrates, c'est en réalité Frank Robben, non? Le patron de la Smals, l'asbl qui gère les services informatiques de l'Etat, dont l'omniprésence a été mise sur le devant de la scène médiatique ces derniers temps. Frank Robben n'est pas un grand méchant loup. Ce n'est pas Gargamel qui veut dominer le pays des Schtroumpfs! Il entre en scène il y a environ vingt ans, à la banque carrefour de la sécurité sociale. A l'époque, l'Etat commençait à récolter des données et visait la simplification administrative, pour éviter aux citoyens de devoir répéter 25 fois la même information. Frank Robben avait une idée très maligne: ne pas centraliser toutes les données. Puis réduire les risques de piratage ou de fuites internes. Un réseau en toile d'araignée fut donc créé, où chaque administration collecte certaines données et, lorsqu'elle en a besoin d'autres, doit faire une demande auprès de la banque carrefour, qui est au centre. On était les pionniers du privacy by design, soit la protection de la vie privée, dès la conception du système informatique et grâce à lui. Un modèle dont on pouvait être fier. On met en place un outil juste parce que c'est techniquement possible? Exactement! Mais ce n'est pas parce que c'est techniquement faisable que c'est démocratiquement acceptable. Un outil efficace ne va-t-il pas créer des effets secondaires? De la peur? Nuire à la liberté? Se retourner finalement contre l'Etat? Tout ça doit être débattu dans les parlements. Or, les députés ont soit été mis de côté, soit ont eux-mêmes capitulé face à la difficulté de la matière. Avec la pandémie, on se rend compte que la nécessité de lois n'est pas une coquetterie de juriste et que le Parlement a un rôle central. Au moins pour ça: merci la Covid! Mettre le Parlement de côté, cela semble être une constante... L'arrêté ministériel vaccination a été publié le 24 décembre dernier, dans l'après-midi... C'est une technique fréquente, déjà à l'oeuvre avec la loi du 5 septembre 2018 qui rassemblait toutes les données nécessaires pour lutter contre la fraude sociale et fiscale, en appliquant des algorithmes. Elle avait été adoptée au creux de l'été. L' Autorité de protection des données (APD) avait été supercritique, le Conseil d'Etat aussi, et pourtant, c'était passé... Utiliser des algorithmes, c'est nouveau? Non. La première fois que je les ai constatés, c'était pour Oasis, un outil testé en 2000 et fonctionnel depuis 2005. Le terme fait toujours un peu peur, mais en fait, un algorithme est une suite d'instructions mathématiques, qui vont croiser des données et, ici, repérer les profils potentiellement louches. Comme pouvait le faire un inspecteur, mais de manière beaucoup plus puissante, en cherchant des informations auxquelles un humain ne penserait pas. Le problème, c'est que les algorithmes ne sont pas l'objet de débats. Qui décide de les concevoir? On n'en sait rien. Sans doute des boîtes de consultance qui poursuivent un objectif d'efficacité, certainement pas des personnes malveillantes. Mais il est tout de même légitime de savoir si leur outil va servir l'intérêt général ou accentuer les inégalités. Ils doivent pouvoir être contrôlés, et même attaqués si nécessaire. Changer le paramètre d'un algorithme, ça a le même effet que modifier un texte de loi. Sauf que ça, ça donne lieu à des tas de débats! Les algorithmes peuvent-ils être biaisés? Des recherches récentes l'ont démontré. Le concepteur d'un algorithme établit une formule mathématique en sélectionnant, hiérarchisant, liant telles et telles données. Il opère donc un choix, dans lequel il peut mettre sa propre sensibilité. Les données elles-mêmes peuvent être biaisées. Par exemple, Amazon utilisait un algorithme pour sélectionner les bons CV, qui se basait sur les engagements passés. Or, il n'y avait alors quasiment pas de femmes embauchées! L'algorithme en avait déduit qu'être une femme n'était pas bien pour être engagée. Il accentuait les problèmes du passé. Aux Pays-Bas, le programme automatisé de surveillance de la fraude ciblait en priorité les quartiers pauvres et de migrants. Avec une force telle que, dans le monde réel, ça aurait correspondu à envoyer une armée de contrôleurs aux mêmes endroits! Peut-être que ça fonctionne comme ça chez nous aussi. On n'en sait rien. C'est ce qu'on appelle la loi des algorithmes, parallèle à la loi officielle débattue dans les parlements. Il serait grand temps de réfléchir à leur transparence. Vous regrettez que l'Etat utilise les algorithmes essentiellement dans un but de surveillance. Le numérique, c'est comme un marteau. Il peut détruire ou construire. Contrôler est légitime, mais il serait important, aussi, de faire des choses au bénéfice des citoyens. Par exemple en créant un outil capable de repérer ceux qui auraient droit à des allocations mais qui n'en ont pas fait la demande! Il faut rester sur l'idée du pacte initial donnant-donnant. On a eu tendance à l'oublier. C'est très clair dans la loi pandémie. Je l'ai dit au Parlement: la seule chose prévue en matière d'utilisation des données, c'est la surveillance. Symboliquement, c'est dangereux. Car à long terme, on risque de dire "stop, on arrête", même pour les données élémentaires. Or, on a besoin du numérique. La confiance risque d'être d'autant plus entachée que l' Autorité de protection des données (APD) ne fonctionne pas de manière optimale... L'APD, c'est le chien de garde de la vie privée. Qui doit aboyer en cas de problème. Un citoyen ne va pas agir seul et ça se comprend: entamer une action en justice, c'est long, complexe, coûteux... Donc l'APD devrait aller en justice lorsque c'est nécessaire. Or, elle vient de le faire une première fois, concernant les données Covid centralisées auprès de l'ONSS. Elle a introduit une action sur le fil, ce qui laisse imaginer beaucoup de tergiversations. Des lanceuses d'alerte ont fait remonter plusieurs problèmes internes. Comme le fait que Frank Robben y siège. Comme si un concepteur de vaccin faisait aussi partie de l'organe chargé de le mettre sur le marché! Une plainte à ce sujet a été déposée auprès de l'Europe. Je ne comprends pas comment on ne lève pas le mandat de Frank Robben (par ailleurs attribué par le Parlement). La colonne vertébrale de l'APD doit être l'indépendance. L'Europe est très claire là-dessus: des fonctionnaires ne peuvent pas y siéger. Ça aussi, ça nuit à la confiance. Si le citoyen a peur, il ne peut pas se tourner vers l'organe chargé de le protéger car le gars qui a créé l'outil qui l'effraie y siège. En plus il n'y a pas eu de débat au Parlement sur le sujet! Ce n'est pas du complotisme, il n'y a pas de grand dessein machiavélique derrière. Mais on semble considérer le citoyen comme encombrant. C'est la technocratie. Avançons entre techniciens et consultants. Il y a un risque énorme de fracture citoyenne car la compréhension de l'outil échapperait à tout le monde sauf à ceux qui l'ont construit. Pourquoi se soucier des données en possession de l'Etat, alors que l'on donne tout, plus ou moins consciemment, à Facebook, Google et compagnie? Notre relation avec les Gafam est ambiguë. On est surveillé, mais on en tire des avantages. Effectivement, nos données nous y échappent et on ne comprend plus leur fonctionnement. Mais, selon moi, ce qu'il se passe au sein de l'Etat est encore plus préoccupant car on n'a pas le choix! On est fiché, de la naissance à la mort, et c'est nécessaire. Tandis qu'on peut se passer de Facebook (même si ça devient de plus en plus compliqué) et on peut mentir. Moi, j'y suis actrice à Hollywood et j'habite à Honolulu... Si j'affirme la même chose à l'Etat, je vais devoir payer une taxe sur les résidences secondaires! Autre grosse différence: jusqu'à présent, il n'y a pas de prison Google ou de policier Facebook... L'Etat garde le monopole de la contrainte. Le citoyen est dans une situation de vulnérabilité, il est indéfectiblement lié à l'Etat, et il peut faire l'objet de contrôles et de sanctions. Si on n'a rien à se reprocher, faut-il finalement s'inquiéter des outils numériques étatiques? Les libertés, c'est comme le dentifrice: quand il sort du tube, il n'y entre plus jamais. Les gens eux-mêmes s'habituent à ces restrictions. C'est très dangereux, car on risque de vivre dans une société où il n'y a plus de remise en question, plus de contestation. A force d'induire l'idée que le numérique est partout, qu'il nous surveille tout le temps, la liberté d'être qui on en a envie risque d'être atténuée. Comme quand on passe à côté de policiers: même si on n'a rien fait, on va se redresser, prendre un air sérieux. Puis, comme le disait Edward Snowden, penser "le droit à la vie privée ne me préoccupe pas parce que je n'ai rien à cacher", ça revient au même que d'affirmer "je me fiche du droit à la liberté d'expression parce que je n'ai rien à dire".