À l’heure où Facebook avoue que plus de 50 millions de comptes ont récemment été piratés, les données personnelles sont plus que jamais le nerf d’une guerre politique et économique sans merci. Rencontre avec Nathalie Devillier, Juri-Geek du site The Conversation, qui éclairera les enjeux pour les lanceurs d’alerte lors de notre prochaine rencontre, à la bibliothèque municipale de la Part-Dieu, ce mardi 2 octobre à Lyon.
Le Lanceur : Docteure en droit international et professeure de management à Grenoble, vous êtes une spécialiste des enjeux de protection des données à caractère personnel. Quel a été l’impact des révélations du lanceur d’alerte Edward Snowden sur votre carrière ?
Nathalie Devillier : Près de dix ans avant l’alerte, j’ai compris qu’il fallait trouver les moyens d’héberger les données personnelles sur des serveurs sécurisés, notamment en travaillant dessus dans le cadre d’une activité de télé-santé pour une société privée. Mais, avant Edward Snowden, je n’avais jamais vu quelqu’un franchir le cap et dévoiler des informations de cette ampleur. Surtout que, vu la nature de l’organisation et le volume des données, il risque sa vie. L’affaire Snowden est une sorte de déclaration de guerre, car les agences et les grands pays légalisent la surveillance.
Qu’ont permis ses révélations ?
L’affaire permet de comprendre que la surveillance de masse et la donnée sont un actif stratégique de l’État : un élément de sécurité intérieure, de politique extérieure et de relations économiques internationales. Cette zone grise sur laquelle les États ne veulent pas être visibles sert en réalité de monnaie d’échange et de contre-pouvoir. Aujourd’hui, les positions de la Chine et de la Russie et leur comportement vis-à-vis des télécoms font ressortir cela. Ces États veulent absolument contrôler les contenus accessibles par leurs citoyens. La Russie va même plus loin en imposant à des géants américains d’héberger leurs données sur le territoire national russe et d’embaucher leurs propres prestataires.
À peine un an après les révélations d’Edward Snowden, la société Cambridge Analytica a commencé à recueillir les données d’utilisateurs de Facebook, jusqu’à ce qu’un lanceur d’alerte fasse éclater le scandale : les informations de 87 millions d’utilisateurs auraient servi à influencer les intentions de vote aux États-Unis et en Grande-Bretagne. Le recueil des données s’est-il déplacé vers le privé ?
Les lanceurs d’alerte sur les activités de sociétés de droit privé montrent que la pratique s’est amplifiée. Qu’en réalité elle n’est pas spécifique à l’État et à des mesures de surveillance pour la lutte contre le terrorisme. C’est là que la question des motivations se pose. La première est l’aspect financier. Une entreprise qui revend des données à des tiers a intérêt d’en collecter un maximum. La seconde est la possibilité de servir de porte d’entrée à une collecte qui peut aussi servir les intérêts de son État.
Vous avez publié un article sur l’audition de Mark Zuckerberg au Parlement européen. Qu’avez-vous pensé de sa prestation devant les sénateurs des États-Unis ?
L’audition de Mark Zuckerberg au Sénat américain était assez ennuyeuse et les questions sur le fonctionnement de Facebook assez simplistes. Jusqu’à ce que la sénatrice de l’État de Washington, Maria Cantwell, lui demande si Facebook avait partagé ses données avec Palatine Analytics. Mark Zuckerberg a répondu qu’il ne le savait pas. J’ai tout de suite recherché cette entreprise sur Facebook puisque toutes les entreprises ont une page. Sauf que celle de Palatine Analytics est vide, n’a pas d’identité visuelle, ni de contacts. Après des recherches plus approfondies, je découvre que c’est une société américaine d’intelligence artificielle dans le domaine des ressources humaines. Leur prestation de service est de proposer aux entreprises de perfectionner le management des équipes grâce à des processus d’intelligence artificielle mis en place sur tous les supports numériques : les téléphones mobiles donnés aux salariés, les ordinateurs portables et fixes…
Est-ce dangereux, selon vous ?
Je présume que c’est aussi un moyen de placer des mouchards dans les entreprises, peut-être pour de l’espionnage industriel. Avoir la main sur les données permet de naviguer où l’on veut dans l’entreprise et l’accès aux serveurs de contourner tous les processus. Ce ne sera pas suspect de regarder le dossier lambda, bien planqué, du conseil d’administration ou celui d’un salarié qui travaille sur un dossier sensible à cause de la zone ou du secteur d’activité. Deuxièmement, c’est un moyen de surveiller les salariés, ce qui rejoint un peu la problématique des lanceurs d’alerte. Dans certains secteurs ou entreprises, les salariés qui ont accès à des données sensibles sont des cibles pour les entreprises concurrentes, qui pourraient vouloir les “acheter” pour accéder à des fichiers, faire remonter de l’information ou falsifier des éléments. Le problème est l’ambiguïté que laissent planer ces pratiques.