Le GDPR survivra-t-il au COVID-19 ?
On dit le tracing nécessaire, voire urgent. Mais à quel prix, demande André Loesekrug-Pietri, Executive Director de la JEDI (*). Première victime, le GDPR.
° Et le GDPR… La lute contre les virus impose-t-elle de généraliser, à l’instar de la Corée du Sud, Singapour ou bien encore Israël, la traçabilité numérique via nos téléphones portables, une démarche qui, au demeurant, semble avoir bien fonctionné ?
Ici et là, plusieurs projets d’applications de tracing sont en cours. Soit autant d’initiatives isolées. Certaines verront le jour, d’autres pas… Sur le principe, le tracing est utile. Il a porté ses fruits. Mais à quelles conditions ? Ce type d’applications, à tout le moins intrusives, pose en effet la question de la protection des données. Concrètement, quel usage sera fait des données ainsi récoltées via ces applications ? Quid du GDPR, ce règlement unique au niveau mondial, qui assure la protection des données personnelles des Européens… l’aboutissement de cinq années de travail ?
° Une des pistes, justement pour préserver le GDPR, ne serait-elle pas de développer une application paneuropéenne ?
La piste d’une application pan-européenne présente en effet plusieurs intérêts. Un : permettre l’harmonisation des approches entre les Etats membres. Deux : offrir davantage de garantie sur le caractère temporaire de l’application. Et trois : permettre de se construire un véritable avantage comparatif en terme de compétitivité du fait de l’effet d’échelle de par le nombre d’utilisateurs. Ce projet présente aussi des inconvénients. Déjà, quand cette application paneuropéenne sera-t-elle prête ? Les citoyens européens seront-ils plus confiants envers l’Union européenne qu’envers leurs gouvernements ? Et, surtout, le traitement d’une telle masse de donnée n’accroitra-t-il pas les risques pour la sécurité de ces données ?
Allons plus loin, voyons plus loin !
° En attendant, c’est chacun pour soi. Que faire ?
Aujourd’hui, force est de constater que la muraille législative que représente le GDPR s’est rapidement révélée inapte à résister aux coups de bélier de la pandémie. Elle n’était pas invincible, loin de là. Le texte européen permet explicitement de déroger au principe du consentement à des fins de protection de la santé publique. Il n’en a pas fallu plus pour que le château tombe : en Allemagne, en Belgique ou encore en Pologne, les opérateurs télécoms ont partagé les données de géolocalisation avec leurs gouvernements nationaux. Légalement, ils sont tenus d’anonymiser ces données. Mais on sait que les méthodes d’anonymisation existantes sont incertaines…
° Si, comme vous dites, ces méthodes sont incertaines, cela signifierait que les risques sont énormes. Est-ce aussi l’avis des scientifiques ?
Oui. Dans une étude publiée dans le journal Nature Communications, en juillet 2019, des chercheurs de l’Imperial College London et de l’UCL ont révélé être capables de réaliser correctement une traçabilité inversée des données anonymisées dans 99,98 % des cas. Une réalité dont les autorités européennes semblent peu se soucier…
Pour le chiffrement homomorphe
° Ce serait donc sans issue ?
Non. D’autres méthodes existent. C’est ainsi que la JEDI travaille depuis quelques mois sur le chiffrement homomorphe -complexe, mais prometteur. Celui-ci permet d’effectuer des calculs sur des données directement chiffrées, sans la nécessité de les déchiffrer en premier. En d’autres termes, éditer deux jeux de données chiffrées donne un résultat chiffré qui -si déchiffré- est égal à ce qui serait obtenu si la même opération était réalisée sur les deux ensembles de données non chiffrées.
Le problème qui se pose aujourd’hui -à savoir comment exploiter les données personnelles tout en assurant leur sécurité- continuera à se poser demain. Partout, en Europe, des développements sont en cours. Mais ils sont isolés. Et, le plus souvent, ils ont été lancés dans l’urgence. D’une manière générale, nous manquons d’ambition. Investissons réellement dans le chiffrement homomorphe. Notre confiance dans le cloud n’en serait que plus grande. En effet, l’utilisateur serait en mesure d’envoyer une requête chiffrée au serveur cloud pour effectuer une opération sur les données chiffrées et obtenir un résultat chiffré qui sera déchiffré avec sa propre clé…
Le coup d’avance
° Qu’est-ce qui coince ?
Notre manque d’ambition -j’y reviens. Nous sommes aujourd’hui de plus en plus une colonie numérique. Revenons au centre du jeu, privilégions l’innovation de rupture, décisive pour notre avenir et la souveraineté de l’Europe... La question soulevée autour des applications de tracing, et donc du GDPR, n’est qu’un épisode de plus. La vraie question, à mon sens, est de savoir pourquoi nous sommes aujourd’hui dans l’urgence ? L’urgence dans laquelle nous nous trouvons aujourd’hui témoigne d’un défaut d’anticipation. Dans tous les cas, il faut être totalement transparent sur les failles et ne pas se borner a répéter que le GDPR ou d’éventuelles barrières réglementaires seront suffisants -cela ne créerait pas la confiance.
Nous sommes en train de chercher à résoudre les problèmes au plus vite sans songer à voir plus loin, sans penser à prendre un coup d’avance. Et ceci se vérifie dans tous les domaines. Ainsi, dans la mobilité, avec la voiture électrique. Les batteries lithium-ion utilisées contiennent du nickel et du cobalt dans leurs cathodes. Si ces métaux ne sont pas vraiment ‘rares’, à l’inverse de l’or ou du platine, ils ne sont pas non plus très abondants dans l’écorce terrestre. Les réserves mondiales sont donc limitées. Y compris sur le plan géographique. Pour le cobalt, on le trouve essentiellement au Congo… de plus en plus sous influence de la Chine !
° Certes. Mais aujourd’hui, il y a urgence…
Urgence, oui. Urgence, précisément. Et c’est là tout le problème. Voici peu, les Hôpitaux de Paris se sont tournés vers Palentir pour gérer l’analyse massive de leurs données en temps réel. Le spécialiste américain du big data a promis d’aider l’institution à améliorer son fonctionnement, en favorisant une meilleure allocation des ressources en personnels, en fourniture de masques, des respirateurs ou encore en gestion des lits. De la même façon, Palentir a approché le NHS britannique, les systèmes de santé autrichien, espagnol, grec… Recourir à Palentir -dont la réputation est ce qu’elle est- démontre à nouveau notre manque d’anticipation. Cette pandémie, les scientifiques l’avaient prévue depuis belle lurette…
Nos données sur les serveurs des GAFAM…
° Comment analysez-vous l’initiative conjointe Apple – Google ? En utilisant cette brique logicielle, les solutions de traçage seraient interopérables et fonctionneraient indifféremment sur les téléphones équipés d’Android ou de iOS, soit tous nos smartphones. N’est-ce pas là un argument de choc ? La tentation ne serait-elle pas d’adopter cette proposition US… avec tous les risques, dont le Cloud Act, que l’on sait ?
L’initiative de Google et Apple est bienvenue, puisqu’elle permettrait de faciliter grandement la mise en place des applications de tracing par nos gouvernements. En elle-même, elle ne pose a priori de problèmes de sécurité. Ou, du moins, pas de problèmes de sécurité autres que ceux d’utiliser en temps normal Google ou Apple. Bref, cette proposition pourrait connaitre un formidable succès… Mais après ? Outre notre dépendance aux GAFAM, c’est ici la question du tracing en général qui est posée. Qu’en ferons-nous quand la pandémie sera derrière nous ?
Le GDPR aura sans doute vécu
° «On ne déconstruit pas un système de surveillance d’État aussi facilement qu’on recommence à se faire la bise ou à emmener ses enfants au parc», soutenait voici peu l’avocat Rubin Sfadj, spécialiste du GDPR. Qu’en pensez-vous ?
La crise que nous vivons actuellement est un événement brutal et inattendu; elle met nos sociétés dans des situations inédites. Notre modèle politique n’y était tout simplement pas préparé. Cette crise sanitaire bouscule nos certitudes. Elle risque de changer le monde sur le long terme. Parmi ses multiples enseignements, l’insuffisance des barrières législatives n’est pas le moindre. A l’issue, le GDPR, qui fut notre fierté, aura sans doute vécu.
A nouveau, je le répète, essayons de prendre un coup d’avance. Ce sont les technologies de rupture qu’il est nécessaire d’encourager, de soutenir et de développer. Soyons agiles, an-ti-ci-pons.
L’‘ethic by design’ comme solution
° La JEDI favorise l”ethic by design’. Mais n’est-ce pas un voeu pieu ? Il n’existe aujourd’hui aucune méthode d’anonymisation fiable à 100%. Que faire quand le temps presse ?
La temporalité est un vrai problème. En philosophie, on distingue deux conceptions du temps : kairos, le moment opportun; chronos, le temps linéaire, continu et long. En temps normal, il faut construire une vision pour le long terme, par exemple être ferme sur ses valeurs et sur ses objectifs. Par exemple, au sein de la JEDI, c’est la foi dans les valeurs européennes, la certitude que la technologie et l’innovation peuvent apporter le meilleur à notre société. D’où le concept d”ethic by design. Lorsque le temps presse, c’est un moment de concentration d’opportunité… pour le meilleur et pour le pire ! Il faut à la fois être ferme sur ses valeurs et faire preuve d’une très grande agilité.
En lançant le GrandCovid Challenge, la JEDI a démontré qu’elle était capable de lancer des projets de très grande ampleur, en mobilisant un panel de scientifiques d’excellence et, cela, très rapidement. Mais le moment de crise est également un moment de test pour nos valeurs. Or, le concept d”ethic by design’ permet justement de répondre au débat actuel sur le choix entre sécurité collective et projection des données personnelles. Être capable de se projeter sur le temps long tout en réagissant avec beaucoup d’agilité en cas d’urgence est essentiel. La crise du coronavirus nous confirme que l’Europe doit radicalement changer son approche pour rester crédible et audible.
Propos recueillis par Alain de Fooz
(*) La JEDI (Joint European Disruptive Initiative) a été créée par André Loesekrug-Pietri, son Executive Director, par ailleurs le fondateur du fonds d’investissement A.CAPITAL. La JEDI préconise un changement de méthode quant au financement de la recherche, une culture de l’anticipation et un positionnement qui allie technologie et société. La JEDI milite pour un principe de financement sans ROI sur des technologies de rupture, à l’image de la DARPA américaine, que seul les Etats peuvent prendre en charge.
Ces articles parlent de "Data Intelligence"
Analysis, BI, Prediction, Planning, Boardroom