Comment Google définit votre persona : le droit à l'oubli vu des Pays-Bas et de France

La question du droit à l'oubli n'oppose pas simplement la vie privée à la liberté d'expression, mais plus largement à un pouvoir de cadrage (framing), un pouvoir googlesque de définition de votre persona, c'est-à-dire de votre personne publique. Dès lors, les tribunaux devraient ajouter une corde à leur arc, en contraignant Google, lorsque le déréférencement n'est pas accordé, à modifier ce référencement, de façon à ce que l'article litigieux n'arrive plus en première page des résultats. En effet, tolérer que des actes répréhensibles commis plus de dix ans auparavant continuent d'arriver en résultat n°1 lorsque l'on tape le nom d'un individu, c'est tout simplement lui dénier toute possibilité de réhabilitation et le réduire à ce seul acte. 

Le mécanisme actuel du « droit à l'oubli » depuis l'arrêt de la CEDH Google c. Espagne

Depuis l'arrêt Google Spain ("Google contre l'Agence espagnole de la protection des données et Maria Costeja Gonzales", 13 mai 2014) de la Cour de justice de l'Union européenne (CJUE), les moteurs de recherche, ainsi que les juridictions nationales des pays membres de l'UE doivent appliquer le "droit à l'oubli" sur Internet (voir ici : Google et le droit à l'oubli en Espagne, février 2011). S'il s'agit-là d'une avancée majeure, elle ne répond que partiellement au problème posé par le classement Google quant à la vie privée.

Concrètement, chacun peut faire une demande de déréférencement de liens menant vers des pages web le concernant directement. Si Google refuse ce déréférencement, on a la possibilité de se tourner vers l'autorité nationale de protection des données (la CNIL en France) puis, le cas échéant, vers un tribunal. Conformément à la jurisprudence européenne, celui-ci met en balance le droit à l'oubli du requérant avec la liberté d'expression qu'elle confère non seulement aux sites de publication, mais aux moteurs de recherche eux-mêmes.

Si, certes, les droits de la personne concernée protégés par ces articles prévalent également, en règle générale, sur ledit intérêt des internautes, cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique. (§81 de l'arrêt de la CEDH, Google c. Espagne)

Depuis mai 2014, Google affirme avoir reçu plus de 370 000 demandes, portant sur plus d'1,3 millions d'URL, et la firme a accepté de déréférencer plus de 42% de ces URL (de façon intéressante, et peut-être éclairante pour le sociologue, le résultat est très variable selon les pays: ainsi, par exemple, pour la France Google a accepté de déréférencer 48% des URL, mais pour l'Italie seulement 30%).

Plusieurs critères sont utilisés, dont le caractère public, ou non, de la personne concernée (une people n'est pas considérée l'égal de M. Toulemonde); l'ancienneté de l'information référencée; sa pertinence à l'égard du débat public, etc. La fiabilité ou le caractère mensonger de l'information ne dépend pas, a priori, et en tout cas aux Pays-Bas, du "droit au déréférencement", puisqu'il faut en ce cas s'adresser directement au site hébergeant la page litigieuse (pour diffamation, injure, etc.).

La solution est binaire: soit le déréférencement est accordé, soit il ne l'est pas. Cette « solution juridique » découle de l'appréhension de la question en termes d'équilibre entre vie privée et liberté d'expression. En fonction des poids respectifs sur cette balance, on accorde, ou non, le déréférencement.

L'insuffisance de la problématisation juridique en termes de « vie privée contre liberté d'expression »: le cas de la jurisprudence néerlandaise

La Cour de district d'Amsterdam a refusé, le 24 décembre 2015, à un journaliste sa demande de déréférencement vers un article du journal NRC (qu'on présume être le grand quotidien NRC Handelsblad) datant de 1995 et faisant état d'un plagiat de quatre phrases alors effectué par ce journaliste. Celui-ci déclarait être gêné dans ses recherches d'emploi en raison de cette ancienne histoire, à laquelle le référencement de Google en première page donnait un écho disproportionné.

La Cour a rejeté ses arguments, en alléguant d'une part que la profession de journalisme constituait un pas vers le fait d'être une personne publique, bénéficiant donc d'une moindre protection en matière de vie privée, et d'autre part que le plagiat étant une faute grave en journalisme, ce méfait était suffisamment important pour bénéficier de la protection offerte par la liberté d'expression et d'informer.

Elle ajoute - selon ce que l'on comprend de la traduction... Google, de l'arrêt en question - que le "rôle de catalogue que tient Google serait sévèrement compromis si on imposait des restrictions sévères à son fonctionnement", ce qui conduirait à la "perte de sa crédibilité" (Google détient plus de 85% des parts de marché aux Pays-Bas*). 

De la pseudo-neutralité de l'algorithme Google

Enfin, elle ajoute, de façon critiquable, qu'il est "également important que les moteurs de recherche fonctionnent sans intervention humaine", c'est-à-dire en ne dépendant que des termes recherchés par l'internaute. La Cour semble donc ignorer qu'un algorithme, par définition, est le produit d'une intervention humaine, et qu'il ne bénéficie donc pas, à ce titre, de plus d'objectivité que tout autre mode de classement (notamment humain, c'est-à-dire individuel), puisque les critères de ce classement ont été déterminés par des ingénieurs. 

S'agissant de Google, les règles de l'algorithme sont couvertes par le secret commercial, ce qui n'est pas sans poser quelques questions majeures quant au pouvoir exorbitant, et opaque, que détient la firme de Mountain View dans la hiérarchisation de l'information - ou, plus généralement, du contenu d'Internet. 

En France, le projet de loi pour une République numérique, porté par la secrétaire d'Etat Axelle Lemaire, prévoit ainsi, dans son article 2, une disposition spécifique permettant, "lorsqu'une décision individuelle est prise sur le fondement d'un traitement algorithmique", d'exiger à l'administration qu'elle communique "les règles définissant ce traitement, ainsi que les principales caractéristiques de sa mise en œuvre".

Vu la position quasi-monopolistique de Google, qui détient plus de 90% des parts de marché en France, lui octroyant un pouvoir sans précédent sur ce bien public qu'est Internet, et notamment un pouvoir de framing ou de définition de la personnalité des individus cités nommément, en mettant en avant certains articles ou faits plutôt que d'autres, on peut s'interroger sur la légitimité qu'à Google à se draper derrière le secret commercial pour refuser de répondre aux critères de classement utilisés et, plus généralement, pour refuser de modifier ce classement dans certains cas litigieux.

Contrairement à ce qu'affirme Google, et que les tribunaux néerlandais prennent pour argent comptant, le classement ne dépend en effet pas uniquement de l'audience des journaux. Ou alors, il faudrait croire que le site d'extrême-droite fdesouche a une audience plus grande que l'ensemble de la presse française, puisque lorsque l'on tapait "viol" et "facebook" le 6 janvier 2015, il arrivait en premier (aujourd'hui, il arrive en 10e position, c'est-à-dire tout en bas de la première page de recherche).

Il est frappant de voir que les tribunaux passent sous silence ce point, alors que c'est précisément ce que la Cour européenne des droits de l'homme (CEDH) avait souligné, à l'occasion de l'arrêt Google c. Espagne de 2014 à l'origine de cette jurisprudence du "droit à l'oubli":

37      De plus, l’organisation et l’agrégation des informations publiées sur Internet effectuées par les moteurs de recherche dans le but de faciliter à leurs utilisateurs l’accès à celles-ci peut conduire, lorsque la recherche de ces derniers est effectuée à partir du nom d’une personne physique, à ce que ceux-ci obtiennent par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet leur permettant d’établir un profil plus ou moins détaillé de la personne concernée.

38      Dans la mesure où l’activité d’un moteur de recherche est donc susceptible d’affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l’exploitant de ce moteur en tant que personne déterminant les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée.

En France, des tribunaux ont d'ailleurs mis en pièce la théorie de la "neutralité technologique" de Google lors de l'affaire sur les mots-clés "juifs" (cf. Google et le mot-clé "juif": devant les juges, 10 mai 2012).

L'aporie juridique 

En opposant la vie privée à la liberté d'expression et d'informer, les tribunaux ont réduit le problème du classement de Google à une question binaire, qui n'a qu'une issue possible: supprimer, ou non, le référencement de la page. Cette même logique est utilisée lorsqu'un particulier se retourne, non pas contre Google, mais contre un site web. 

Or, l'arrêt Google c. Espagne visait précisément à contourner cette logique binaire, en permettant le déréférencement lorsque la publication elle-même était jugée légale (le cas examiné était particulièrement propice à cette dissociation, puisqu'il s'agissait d'une publication faite par ordre de l'administration). C'est-à-dire en affirmant qu'il ne s'agissait pas simplement d'une opposition binaire censure/liberté d'expression, mais plus généralement du pouvoir important de définition d'un profil humain dont dispose Google.

Ainsi, récemment, le TGI de Paris a déclaré non recevable la requête d'un individu effectuée au site 20 Minutes afin de supprimer un article publié il y a plus d'une dizaine d'années et intitulé « Poursuivi pour tentative de meurtre il avait participé au Bigdil » (cf. décision sur Legalis). Il s'agit-là d'un cas analogue à celui du journaliste néerlandais, à ceci près que les faits en cause sont plus graves (violences volontaires ayant entraîné une incapacité permanente, contre un plagiat), et que la requête, au lieu d'être faite à Google, l'est faite au site lui-même. Mais, dès lors, le tribunal ne peut que répondre par "oui" ou "non", c'est-à-dire imposer, ou non, la suppression de l'article de presse, donc le censurer au nom de la protection de la vie privée.

On peut s'interroger sur ce phénomène qui mène à ce que des faits répréhensibles commis plus de dix ans auparavant soient non seulement toujours en ligne, causant des problèmes sociaux et économiques (rapports avec les collègues, recherche d'emploi, etc.) évidents, et qu'un tribunal considère que ces faits sont d' "intérêt public", sans sembler prendre en compte la temporalité. 

D'autant plus qu'à reprendre l'arrêt Google, si "cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information", une telle formulation peut conduire, dans certains cas - dont ceux ici cités - à un paradoxe insoluble: plus un fait est grave, plus le juge considère que le public a un intérêt légitime à le connaître, mais plus cette information est "sensible" pour la "vie privée" de la personne, c'est-à-dire dommageable. Un dommage qu'en d'autres contextes, les tribunaux n'ont aucun problème à évaluer, puisqu'ils pourraient compter, par exemple, la perte en revenu net dont sont victimes ces personnes soumises à la vindicte publique et gênées de façon grave dans la recherche d'emploi.

En d'autres termes: si on peut admettre que ces faits présentaient un intérêt public à l'époque, ce qui concorde avec une jurisprudence constante en termes de liberté de la presse, peut-on réellement affirmer qu'ils présentent encore aujourd'hui un tel intérêt, surtout si on le met dans la balance avec l'intérêt du sujet concerné à pouvoir continuer sa vie sans traîner éternellement cette casserole - si grave fût-ce-t-elle? 

Il semble clair que les tribunaux, que ce soit en France ou aux Pays-Bas, ont une notion beaucoup plus large que la CEDH de ce que constitue "l'intérêt du public". Car si la CEDH limitait le droit à l'oubli - qui, d'ailleurs, s'applique même si l'information référencée n'est pas préjudiciable - aux personnes dont le "rôle joué (...) dans la vie publique" n'est pas important, caveat qui d'évidence visait les politiques et les stars, les juridictions nationales semblent en pratique considérer que toute personne évoquée ne serait-ce qu'une fois dans les médias ou y travaillant sont, de facto, des personnalités publiques privées de droit à l'oubli.

D'autre part, et c'est là une question qui ne concerne pas la "liberté de la presse" mais le classement Google, au nom de quoi cette firme décide-t-elle de mettre en première page de tels articles, qui, disons-le franchement, n'ont comme seul intérêt véritable, dix ans après les faits, que de bousiller la vie d'un individu ? N'est-ce pas contredire frontalement le principe de réhabilitation auquel obéit, en principe du moins, toute la logique pénale ?    

Dès lors, plutôt que de se voir uniquement en censeur potentiel, les tribunaux ne devraient-ils pas s'interroger sur la possibilité de contraindre Google, lorsque le déréférencement n'est pas accordé, à modifier le référencement de façon à ce que ces résultats n'arrivent pas en première page ? C'est précisément ce qu'avait demandé, sans succès, un consultant du cabinet d'audit KPMG aux tribunaux néerlandais, victime d'un article racontant qu'il avait logé dans un container pendant plusieurs mois - information que le juge néerlandais a trouvé d'une importance capitale pour le public (cf. Kulk et Zuiderveen, 2015).    

*Kulk, Stefan and Zuiderveen Borgesius, Frederik J., Freedom of Expression and ‘Right to Be Forgotten’ Cases in the Netherlands after Google Spain (August 27, 2015), in European Data Protection Law Review 2015-2, p. 113-125. Available at SSRN: http://ssrn.com/abstract=2652171

*Google et le mot-clé "juif": devant les juges  , Vos Papiers, 10 mai 2012
*Google et le droit à l'oubli en Espagne, Vos Papiers, 8 février 2011




Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.

Censure du Conseil d'Etat sur le fichier de la carte d'identité

Le 18 novembre*, le Conseil d'Etat a effectué une magistrale leçon d'indépendance du droit et du temps juridique à l'égard du politique, en obligeant l'Etat à mettre un terme à la conservation illimitée de l'empreinte digitale prélevée lors d'une demande de carte d'identité.

Il lui a en effet demandé de revoir l'article 5 du décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identité (CNI) - comme l'a rapporté le site Legalis -, suite aux demandes de deux dames qui, par ces procédures, ont réussi à mettre un terme à une situation illégale depuis... 1987 ! Nous les saluons bien bas !

Un héritage de l'ère Pasqua

Cet article concerne le prélèvement, et la conservation pour une durée illimitée d'une empreinte digitale, et cela à deux fins : "la détection des tentatives d'obtention ou d'utilisation frauduleuse d'un titre d'identité" et "l'identification certaine d'une personne dans le cadre d'une procédure judiciaire." Il n'existait pas dans le décret de 1955, et a été introduit sous sa forme actuelle par le décret n°87-179, qui mettait en place la "carte Pasqua".

Cette empreinte était seulement "conservée au dossier par le service gestionnaire de la carte", autrement dit, elle n'est pas intégrée au fichier informatique centralisé mis en place par Pasqua (décret n°87-178). Les décrets Pasqua ont été abrogé sous Jospin, mais le relevé de l'empreinte et sa conservation dans un fichier local ont été conservés (décret n°99-973).

Une circulaire de l'Intérieur, de 2000**, précisait que cette empreinte de l'index, qui figure "dans le dossier de demande et non sur la carte", doit être prélevée y compris chez les mineurs:

"Les enfants mineurs, quel que soit leur âge, ne sont nullement exclus de l'opération de la prise d'empreinte digitale dont l'objet est de détecter les tentatives d'obtention ou d'utilisation frauduleuse d'un titre d'identité et de permettre également de lutter contre les usurpations d'identité. Toutefois, les enfants en bas âge peuvent être dispensés [ndlr: mais ne le sont donc pas nécessairement] du relevé d'empreinte digitale qui ne devra être fait systématiquement qu'à partir de l'âge de seize ans, âge à partir duquel les mineurs sont responsables pénalement."

Ce qui est absurde, puisque les empreintes digitales ne sont pas stabilisées chez les enfants, d'où la gêne certaine marquée par cette circulaire qui indique qu'il faut procéder au prélèvement mais que ce n'est pas obligatoire (on imagine ce qu'ont dû en penser les préfets à qui, en gros, on disait de faire comme bon il leur semblait...). C'est pourquoi il y a bien une limite d'âge (12 ans) prévue pour le prélèvement des empreintes lors de la demande d'un passeport (règlement 444/2009 du Parlement européen et du Conseil, art. 1).

La carte d'identité biométrique de 2012

Quoi qu'il en soit, avec la loi n°2012-410 "relative à la protection de l'identité" (thème à la mode...), les empreintes digitales (on ne sait pas combien) sont stockées sur une puce biométrique présente sur la carte d'identité. Bien que la loi parle "des empreintes", le seul décret sur le sujet ne parle que d'une empreinte, et ne fait pas référence à une puce biométrique, donc cette carte d'identité biométrique reste pour le moment virtuelle, au niveau du droit. En tout état de cause, les dispositions ayant visé à créer un fichier national biométrique, qui avaient suscité des critiques légitimes (voir les multiples articles sur le fichier de 45 millions de "gens honnêtes" sur le blog Bug Brother) - et qui n'étaient qu'une reprise du vieux projet INES ("Identité nationale électronique sécurisée") de 2002 - , ont été censurées par le Conseil constitutionnel. Ne reste donc que le vieux fichier Pasqua.

Or, le Conseil d'Etat a précisé qu'en application de la loi Informatique et libertés de 1978, une durée de conservation proportionnée doit être prévue pour ces données sensibles que sont les empreintes. D'où la censure du décret (le Conseil précise que la loi de 1978 s'applique aux fichiers qui ne sont pas informatisés, ce qui, du reste, est une évidence à la lecture de celle-ci).

Un contexte sensible

Cette décision intervient moins d'une semaine après les attentats du 13 novembre. L'état d'urgence avait déjà été proclamé, ce qui n'a pas empêché les juges de faire leur travail - qu'ils font moins bien en ce qui concerne le contrôle des assignations à résidence, à en croire les diverses affaires rapportées par Le Monde (dont celle sur le catholique assigné à résidence pour salafisme - sic). Les médias avaient rapporté, à tort, qu'un des terroristes (Samy Amimour) à qui on avait retiré les papiers pour le dissuader de partir en Syrie les avaient récupérés tout simplement en faisant une déclaration de perte (cf. Slate qui explique le quiproquo).

Quoi qu'il en soit, voilà une décision qui, s'inspirant de l'arrêt Stephen et Marper de la Cour européenne des droits de l'homme (2009), est à saluer. Et ce, bien qu'elle constitue un barrage fragile face aux demandes de la police qui vise tous azimuts (cf. Le Monde du 5/12/15 et le billet de Pixel)...

Les suites de l'arrêt du CE de 2011 sur les six empreintes en trop prélevées lors d'une demande de passeport 

D'autant plus que, bien que la CNIL se targue de faire son travail en contrôlant que l'Etat efface bien les empreintes en trop prélevées lors d'une demande de passeport (puisque depuis un arrêt du Conseil d'Etat de 2011 l'Etat ne doit en prélever que deux, et pas huit), les services de l'Etat continuent de prélever huit empreintes. En tout cas, ils m'y ont obligé pour mon passeport demandé en septembre 2014... La CNIL prétend même que c'est normal, l'Etat sélectionnant ensuite les deux meilleures empreintes.

Cela est pourtant contraire au décret de 2005 sur les passeports, tel que modifié par le décret 2012-497 pris après l'arrêt du CE et avis de la CNIL ! Celui-ci précise bien, en effet, que seules les empreintes des index doivent être prises (art. 6-1).

Dans ces conditions, on reste sceptique... Et croit-on vraiment que la CNIL contrôlera dans chaque préfecture les dossiers de demande de carte d'identité afin de vérifier que les empreintes n'y figurent plus au bout d'une durée à fixer (10 ans? 15 ans?)... 

*La date du 18 décembre donnée par Legalis dans sa présentation de sa décision est une coquille.

 **Circulaire du 10 janvier 2000, NOR : INTD0000001C
***Article modifié le 17 déc. 2015 sur la dernière partie.

Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.

L'affaire Lukis Anderson ou quand le test ADN s'égare

En 2001, 2003, 2004, 2005, 2006 et 2007  l'inscription au FNAEG (Fichier national automatisé des empreintes génétiques) a été largement étendue à toutes sortes de délits - avec les lois, respectivement, "sur la sécurité quotidienne" de novembre 2001, promulguée par le gouvernement Jospin dans la panique post-11 septembre; la loi pour la sécurité intérieure de 2003, dite loi Sarkozy II; la loi Perben II du 9 mars 2004; la loi de 2005 sur la récidive promulguée sous Villepin; la loi sur les violences conjugales de 2006 et la loi de 2007 sur la prévention de la délinquance, également sous Villepin. En 2014, plus de 2,6 millions de profils y étaient enregistrés, ainsi que plus de 200 000 traces correspondant à des profils inconnus - c'est-à-dire non encore enregistrés.

On connaît les dérapages liés à ce fichier, avec par exemple l'histoire du gamin à qui on avait imposé un prélèvement ADN suite au vol d'un Tamagoshi, ou les risques posés par "l'identification familiale", permettant, à partir d'un profil fiché, de remonter aux membres proches du sujet (il faut donc multiplier les 2,6 millions de profils effectivement fichés par leurs proches pour évaluer combien de personnes sont concernées par le FNAEG, ce qui conduit à une part non négligeable de la population française). On a relativisé l'utilité, ici, du FNAEG dans l'identification des responsables de viol, qui le plus souvent sont loin d'être des parfaitement inconnus de la victime.

Aujourd'hui, alors que la presse annonce qu'on aurait retrouvé des empreintes génétiques qui permettraient, peut-être, de disculper le jardinier Omar R., dans la célèbre affaire "Omar m'a tuer", des scientifiques constatent dans Nature* que le progrès dans l'analyse des empreintes génétiques conduit non pas seulement à une meilleure fiabilité, mais au contraire à un problème majeur de fiabilité!  

L'explication est simple. Alors qu'à l'époque du rapport Cabal, en 2001, sur la fiabilité de l'empreinte génétique en matière judiciaire, il fallait un échantillon corporel (dûment conservé par la police) afin d'effectuer un prélèvement ADN - soit du sang, du sperme ou autre fluide corporel -, aujourd'hui il suffit de passer un coton-tige sur des surfaces qui auraient pu être touchées par le suspect pour prélever les cellules nécessaires au test ADN. Il faut, aujourd'hui, moins de 100 picogrammes d'ADN pour reconstituer un profil génétique complet.

Or, la présence de traces aussi infinitésimales ne prouvent en rien la présence d'une personne sur les lieux, ou le fait qu'elle ait touché tel ou tel objet. Tout simplement parce qu'elles peuvent facilement provenir de transferts secondaires. Une expérience a ainsi montré que lorsque deux personnes se serrent la main, puis touchent un couteau, dans 85% des cas l'ADN de l'autre sujet est transféré sur l'objet et ensuite profilé. Plus inquiétant: dans 20% des cas, l'analyse de l'empreinte génétique résultante "montrait" que ce sujet (qui n'a en réalité pas touché le couteau) est celui qui l'a majoritairement, voire exclusivement, manipulé.

C'est ainsi qu'en 2013, en Californie, Lukis Anderson a été accusé de meurtre et détenu en prison cinq mois, avant d'être innocenté, parce qu'on avait retrouvé son empreinte génétique sous les ongles d'un cadavre. Or, Anderson était ivre mort à l'hôpital au moment du meurtre. En fait, ce sont les paramédicaux qui l'avaient soigné qui ont transféré ses empreintes génétiques sur le corps de la victime, qu'ils ont également eu en charge peu après...

A lire la communication à l'Académie de médecine, en 2012, de M. Christian Doutremepuich, ce problème de transfert secondaire de traces n'a pas franchi les frontières. Ce qui est un peu inquiétant si plus de 200 000 traces sont inscrites dans le FNAEG, et que la loi n'est pas modifiée pour interdire la conservation de traces non issues d'échantillons biologiques important (soit de sang, sperme, etc., en quantité suffisante).

  

 * Cynthia M. Cale, "Forensic DNA evidence is not infallible", Nature, 28 octobre 2015, vol. 526, n°7575

Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.

Big Data & vie privée: quand Twitter permet d'identifier les dépressifs

Samaritain, l'A.I. à la Meilleur des mondes de la série TV People of Interest, ça vous rappelle quelque chose? L'an dernier, une firme a créé un mini-Samaritain pour détecter les personnes à tendance suicidaire sur Twitter... Ou les dangers du Big Data.

Le numéro spécial de Science sur l'intelligence artificielle contient un article intéressant, intitulé "Data, privacy, and the greater good" (17 juillet 2015, vol. 349, n°6245, p.253-255).

Les auteurs, E. Horvitz et D. Mulligan, adressent la question des menaces pesant sur la vie privée au vu de l'analyse automatisée du Big Data et des procédés de machine-learning, qui permettent de tirer des inférences potentiellement indiscrètes à partir de données privées rendues publiques (i.e. pages Facebook, fils Twitter, etc.), lesquelles elles ne révèlent a priori rien de sensibles. Seul la coordination des données constitue en effet le caractère sensible de l'information obtenue. Ils insistent à bon droit sur la non-opérativité du concept de "données anonymes" (fortement présent dans la législation) puisqu'il est désormais possible, dans de nombreux cas, de ré-identifier ces données.

Quelques exemples édifiants - qui soulignent, contre d'innombrables tribunes récentes dans les médias, que la santé n'est pas nécessairement un argument de choc pour le partage des données... 

En 2014, une application britannique opérant sur Twitter, nommée Good Samaritan (après la série People of Interest?), affirmait pouvoir détecter, en analysant les fils de discussion, les personnes sujettes à d'éventuels comportements suicidaires. En à peine une semaine, 3 000 personnes s'étaient inscrites à l'application, identifiant les tweets jugés dépressifs de 900 000 comptes! Bien que l'entreprise niait être le gestionnaire des données (data controller, un détail crucial eu égard au droit de la vie privée), elle ferma le service aussitôt, suite à l'émotion soulevée (voir la pétition Shut Down Samaritan Alert). Quoique cette firme n'avait évidemment comme seul but le bienfait de l'humanité, ses détracteurs soulignaient que l'appli pouvait être utilisée par d'éventuelles personnes mal-intentionnées afin de traquer les tweeters fragiles (les dits stalkers). 

Sans tomber sur des psychopathes, on frémit à l'idée de patrons s'abonnant aux comptes tweeters de leurs employés... à des amis ou proches s'intéressant un peu trop à vos états d'âmes... ou à Google estimant votre taux de bonheur en fonction de votre localisation GPS et de l'usage de vos applis sur téléphone. Il est vrai que ce taux est un critère indéniable du bien-être, et doit être pris en compte par toute conception un tant soit peu large de la santé. N'est-ce pas?

Outre Samaritan, des chercheurs de Palo Alto, toujours à la pointe du progrès, ont soutenu qu'on pouvait utiliser Facebook pour détecter les "dépressions post-partum" (1). Cela permettrait sans doute un grand bénéfice pour l'humanité, par exemple en permettant d'envoyer des opérateurs agréés pour vous contraindre à un traitement thérapeutique voire préventif (et oui, il faut être pro-actif!), ou du moins à faire du sport. Ou encore en permettant à un employeur potentiel de mettre en balance ce CV excellent avec ce signe non moins certain d'une moindre productivité. Gagnant-gagnant?

L'article contient également quelques indications sur les rapports de l'administration Obama sur ce sujet.

Notes et références: 

(1) M. De Choudhury, S. Counts, E. Horvitz, A. Hoff, Characterizing and predicting postpartum depression from Facebook data, in Proceedings of International Conference on Weblogs and Social Media [Association for the Advancement of Artificial Intelligence (AAAI), Palo Alto, CA, 2014]

 A lire: Horvitz et Mulligan, Science magazine, 17 juillet 2015, 349 (6245): 253-255, http://www.sciencemag.org 

Voir aussi : "Nos tweets peuvent-ils prédire une attaque cardiaque?", Internet Actu , 6 mai 2015, et le site du psychologue (un doctorant bien loti!) en question : http://www.jeichstaedt.com

Et pour l'anecdote, le premier psychothérapeute robotisé de l'histoire: http://psych.fullerton.edu/mbirnbaum/psych101/Eliza.htm  

Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.

Interdire la biométrie de confort: une proposition sénatoriale bloquée à l'Assemblée

Le 27 mai 2014, le Sénat a adopté la proposition de loi "visant à limiter l'usage des techniques biométriques", déposée à l'initiative du sénateur de la Nièvre Gaëtan Gorce (PS) et votée avec l'appui non seulement de la gauche mais aussi du groupe UMP. Simple, cette proposition était composée de deux articles, le premier contenant la substance du projet tandis que le second donnait une période de transition de trois ans aux entreprises pour s'y conformer. Cet article 1er ajoutait à la loi de 1978 sur les données personnelles un article selon lequel:

« II bis. - Pour l'application du 8° du I, ne peuvent être autorisés que les traitements dont la finalité est la protection de l'intégrité physique des personnes, la protection des biens ou la protection d'informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible et qui répondent à une nécessité excédant l'intérêt propre de l'organisme les mettant en œuvre. »

Comme l'indiquent les débats de séance, il s'agissait d'interdire la "biométrie de confort", c'est-à-dire toutes sortes d'applications biométriques ne visant pas strictement à sécuriser des locaux. L'exemple-phare étant la reconnaissance du contour de la main dans les cantines scolaires. 

On sait que la doctrine de la CNIL consiste en effet à appliquer un principe de proportionnalité des techniques selon la finalité visée, mais non à juger de la pertinence de celle-ci. Au risque d'une généralisation tous azimuts des techniques biométriques, qui conduit d'une part à banaliser celles-ci, d'autre part à les fragiliser dans la mesure où plus nos données biométriques sont utilisées, plus elles deviennent des cibles pertinentes de piratage - et enfin, bien sûr, à augmenter le chiffre d'affaires du secteur, ce dont certains sénateurs de gauche ont pu se féliciter, mais ce qui conduit également à augmenter leur pouvoir d'influence (leur lobbying), enclenchant un cercle vicieux du "progrès technologique". 

Cette doctrine élaborée au fil des recommandations de la CNIL l'a conduite à restreindre l'usage des empreintes digitales à des contextes sécuritaires, tandis que les cantines scolaires et nombre de dispositifs de contrôle d'accès biométrique en entreprise étaient limitées à l'usage du contour géométrique de la main - technologie considérée comme non "à trace", c'est-à-dire qu'on ne peut prélever à l'insu d'une personne ce contour (contrairement à son empreinte digitale, ce qui permet ensuite de la pirater). 

Par ailleurs, poussée peut-être par un certain vent de contestation, la CNIL avait opéré un revirement de jurisprudence en 2012, en retirant son autorisation unique portant sur l'usage de la biométrie en matière de contrôle des horaires en entreprise (le pointage). 

Cette proposition de loi permettait donc de mettre un relatif coup d'arrêt puisqu'il faudrait désormais justifier d'impératifs sécuritaires pour l'usage de tout dispositif biométrique, y compris ceux considérés par la CNIL comme faiblement intrusifs - au demeurant, malgré l'optimisme sénatorial, il n'est pas certain que l'administration scolaire ne puisse invoquer ceux-ci à l'appui de leurs dispositifs de contrôle d'accès utilisés dans les cantines. 

Votée par le Sénat le 27 mai 2014, soit trois mois après le dépôt de celle-ci, la proposition a été transmise à l'Assemblée nationale le jour même et transmise à la Commission des lois, seule compétente pour la mettre à l'ordre du jour. Près d'un an après, Godot attend. 

Sources : 

Dossier législatif sur le site du Sénat: http://www.senat.fr/dossier-legislatif/ppl13-361.html
Dossier sur le site de l'Assemblée: http://www.assemblee-nationale.fr/14/dossiers/limitation_usage_techniques_biometriques.asp

  Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.

Biométrie: la CNIL s'inquiète, Auchan fonce !

Tandis que la CNIL annonce, sans fanfares, qu'elle retirait son autorisation unique portant sur l'usage de la biométrie afin de pointer au boulot (AU n°007), le groupe Auchan (Auchan, Leroy-Merlin, banque Accord, etc.) lance avec fierté le paiement biométrique "au doigt", c'est-à-dire la carte VISA biométrique. 

Si l'usage de la biométrie à des fins de contrôle des horaires est désormais jugée "non proportionnel", la CNIL effectuant ainsi un revirement de jurisprudence, celle-ci continue à considérer que la "biométrie de confort", ou plutôt, la biométrie de management, c'est-à-dire à des fins de gestion des flux, que ce soit dans les cantines ou les supermarchés, est légitime. La biométrie dévoile ainsi son véritable visage, servant davantage à faciliter la gestion qu'à assurer la sécurité. Mise en perspective.

Le revirement de la CNIL suite à la contestation sociale

La CNIL motive son retrait de l'autorisation unique de la pointeuse biométrique en constatant une généralisation des "techniques de contrôle des salariés" depuis 2006, l'ayant incité à "recueillir l'avis d'organisations syndicales et patronales, de la Direction Générale du travail ainsi que de certains professionnels du secteur" (délib. n°2012-322 du 20 septembre 2012, portant sur l'AU n°7 du 27 avril 2006: "autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail").

Au cours de ces consultations, "un consensus s'est clairement exprimé considérant l'utilisation de la biométrie aux fins de contrôle des horaires comme un moyen disproportionné d'atteindre cette finalité", notamment en raison du "risque accru de détérioration du climat social, allant à l'encontre de la relation de confiance employeur-salarié", la pointeuse à badge apparaissant suffisante.

Il faut dire que la pointeuse biométrique devenait l'enjeu de conflits sociaux inquiétants pour les promoteurs de ces technologies (cf. La gauche et l'avenir de la reconnaissance faciale (1), Vos Papiers!, 18/05/12). Nous avions alors cité le reportage de France-3 (17/05/12) sur l'opposition des employés de la mairie de Garges-lès-Gonnesses :

Dans la suite de cette délibération, la CNIL effectue un véritable revirement de jurisprudence, déclarant:

Dès lors, même si le contour de la main est une biométrie dite « sans trace », son recours implique d'utiliser une partie de son corps, ce qui en soi est disproportionné au regard de la finalité de gestion des horaires.

Félicitons-ici la CNIL d'avoir compris, sous la pression du mouvement social et après six ans de promotion de la biométrie en tant qu'outil de flicage des salariés, qu'elle s'était trompée en considérant que la gestion biométrique des horaires était conforme au principe de proportionnalité de la loi Informatique et libertés de 1978.

Le contrôle dans les cantines, scolaires et professionnelles, demeure légal
 

En revanche, la CNIL nage dans l'incohérence la plus totale, en n'effectuant qu'un retrait partiel de l'AU-007, puisque les autres formes de contrôle biométrique dans l'entreprise, et notamment ceux effectués à la cantine, sont considérées comme "proportionnelles":

La Commission estime qu'il n'en est pas de même en ce qui concerne les contrôles d'accès aux locaux ainsi qu'au restaurant d'entreprise ou administratif reposant sur un dispositif de reconnaissance du contour de la main, notamment pour des raisons de sécurité et au regard des risques plus limités pour la vie privée des personnes.

On ne voit pas bien pourquoi la pointeuse biométrique à la cantine porterait un "risque plus limité" à l'égard de la vie privée, puisqu'il s'agit de la même technique. Par ailleurs, invoquer la sécurité alors qu'il s'agit de gestion des flux est parfaitement hypocrite. Dès 2000, la CNIL savait de quoi il en retournait : en rejetant la demande du lycée Jean Rostand de Nice, elle indiquait ainsi (délib. n°00-015, 21-03-00):

le traitement ainsi mis en œuvre ayant pour finalité de faciliter l'accès à la cantine scolaire et la gestion des comptes et de la facturation ; qu'il permettrait, en outre, aux dires de l'établissement, d'éviter toute manipulation d'espèces et les difficultés généralement liées à la perte ou à l'oubli des cartes de cantine...

Cette finalité a été un temps oubliée: en autorisant le premier contrôle biométrique, par contour de la main, dans les cantines, au collège Joliot-Curie de Carqueiranne (Var) en 2002 - initiative coûteuse financée par le conseil général - elle prétendait qu'il ne s'agissait que de s'assurer que "seules les personnes habilitées peuvent accéder au service" (délib. 02-70). Le collège présentait pourtant le système comme visant à "mieux gérer les absences", c'est-à-dire à mieux fliquer les élèves: une sorte de pointage horaire à l'école (Libération, 28-10-02).

Depuis, la CNIL reprend inlassablement la même rengaine : elle autorise les fichiers et la biométrie à des fins de "contrôle de l'accès au restaurant d'entreprise ou administratif et [de] gestion de la restauration ainsi que la mise en place d'un système de paiement associé" (délib. n°02-001 du 08 janvier 2002, sur les fichiers "mis en œuvre sur les lieux de travail pour la gestion des contrôles d'accès aux locaux, des horaires et de la restauration"; délib. n°2006-101 du 27 avril 2006 sur l'AU-007 ; délib. n°2012-322 précitée, abrogeant la précédente).

Affirmer que des cantines requièrent d'être "sécurisées" en faisant usage de la biométrie est tout autant ridicule qu'hypocrite. Et prétendre que le principe de proportionnalité est respecté devient d'autant plus difficile dès lors que la CNIL s'est déjugée en ce qui concerne le contrôle des horaires. Reste donc à la CNIL de prendre acte des nombreuses protestations contre la biométrie à l'école et le flicage des enfants ! 

L'expérience Accord-Auchan sur le paiement biométrique, une collaboration Etat-industrie-grande distribution

Il s'agit-là, en fait, de la mise en place de "l'expérimentation" - peut-être faudrait-il dire de l'acculturation des consommateurs - autorisée par la CNIL dans sa délibération de décembre 2009 que nous avions largement commenté dans La carte VISA biométrique débarque en France (02/04/10). 

La CNIL, dont l'un de ses membres, Dominique Castera, a travaillé chez Sagem de 1973 à 2010, étant même DRH, de 2005 à 2010, de ce groupe à la pointe du lobbying pro-biométrique, la CNIL donc, dans sa grande indépendance, remarquait alors que c'était "la première fois qu’elle [était] appelée à se prononcer sur le recours à une technologie biométrique dans le cadre d’une application potentiellement de masse".

L'expérimentation actuelle, qui commence à l'Auchan de Villeneuve-d'Ascq, est ainsi le fruit d'une véritable collaboration entre la CNIL, plusieurs banques, la grande distribution, une start-up, Natural Security (sic), financée par ces derniers, et enfin Ingenico, leader mondial des terminaux de paiement - dans lequel l'Etat détient une minorité de blocage à travers Safran, et qu'il avait d'ailleurs utilisé en 2010 au nom du "patriotisme économique", empêchant son rachat par les Américains (cf. Vos Papiers!, 02/02/11). La Tribune (23/10/12) précise ainsi :

Les sept actionnaires de Natural Security que sont Auchan, Leroy Merlin, BNP Paribas, Crédit Agricole, Crédit Mutuel Arkéa ainsi que le leader mondial des terminaux de paiement Ingenico financent à hauteur de plusieurs dizaines de millions d'euros les travaux de cette start-up depuis sa création en 2006. Début 2011 sortait le premier prototype en partenariat avec MasterCard.

Comme le souligne bien 01Net (23/10/12), il s'agit d'une "double identification : biométrique et sans contact", puisqu'il faut poser ses doigts sur un terminal biométrique qui reconnaît le réseau veineux, et permet ensuite la transmission des données du terminal à la carte VISA, gardée dans le portefeuille, via une puce RFID (pour les détails techniques du procédé, cf. Vos Papiers!, 02/04/10). 

Si l'Auchan de Villeneuve-d'Ascq se limite au réseau veineux, l'expérimentation s'étendra à celui d'Angoulême, où l'empreinte digitale sera utilisée. Or, il s'agit d'une technologie "à trace" selon la CNIL, qui pose davantage de problèmes relatifs à la protection contre l'usurpation d'identité... biométrique (sur les faux chiffres qui circulent concernant l'usurpation d'identité civile, cf. Le Canard Enchaîné du 24/10/12, ci-contre). La CNIL a autorisé cette "légère" modification par sa délibération n°2011-200 du 30 juin 2011 :

Par une délibération n°2009-700 du 17 décembre 2009, la Commission a autorisé la mise en place de cette expérimentation, en 2011-2012, pendant une durée de six mois chez les commerçants participants avec, pour biométrie utilisée, le réseau veineux du doigt. Banque Accord sollicite une modification de cette autorisation afin de recourir à deux nouvelles biométries : le réseau veineux de la paume de la main et l'empreinte digitale exclusivement stockée sur support individuel.

Comme en 2009, elle prend acte que cette technique consiste principalement à faciliter la gestion des flux, affirmant qu'elle vise "à réduire le temps nécessaire à la réalisation d'un paiement et à répondre au mieux aux exigences de sécurité en vigueur" - cf. Vos Papiers!, 02/04/10, sur la priorité gestionnaire ("à l'automatisation des frontières répond l'automatisation des caisses", écrivions-nous alors), la sécurité pouvant être assurée par d'autres moyens, non biométriques: l'autorisation constitue donc une entorse, sinon une violation, du principe de proportionnalité.

Mais la CNIL voit là un progrès considérable, annonçant même, dans sa délibération sus-citée de juin 2011, que "ce projet devrait à terme favoriser le développement de nouveaux services d'authentification, par exemple pour la banque en ligne ou la signature de documents". 

Outre la banque Accord, le Crédit Agricole Mutuel de Charente Périgord a bénéficié d'une autorisation d'expérimentation analogue (délib. n°2012-039 du 2 février 2012), ainsi que le Crédit Mutuel ARKEA (délib. n°2012-033, 2 fév. 2012). Parmi les actionnaires de la start-up Natural Security, ne reste plus que BNP-Paribas qui n'a pas encore fait sa demande.

La doctrine biométrique de la CNIL : le pointage, ça suffit ! la gestion des flux, oui !

 Le revirement de jurisprudence opéré par la CNIL quant à l'AU-007, qui se limite, sous la pression du mouvement social, à considéré comme non-proportionnel l'usage de la biométrie à des fins de contrôle des horaires, est un aveu de l'incohérence de sa doctrine. En effet, si l'usage à ces fins n'est pas proportionnelle, en quoi le contrôle biométrique à des fins de management, autorisé tant dans les cantines scolaires que la restauration d'entreprise, ou encore dans ces expériences-pilotes de "paiement biométrique", visant essentiellement à accélérer le passage en caisse, seraient-ils "proportionnels" ?

Alors que dans les années 1990, la biométrie était principalement présentée comme une technologie de paiement, l'enjeu sécuritaire post-11 septembre a durablement éclipsé cette fonction. Ceci a permis, en retour, la CNIL d'autoriser la généralisation de ces systèmes de reconnaissance dans l'ensemble de la société, au prétexte de la "sécurité" nécessaire dans le cadre de "contrôles d'accès". Et ceci, alors même qu'elle reconnaissait clairement la finalité avant tout gestionnaire et commerciale.

Avec l'expérimentation de paiement biométrique, qui prévoit la généralisation massive de la biométrie à des fins commerciales, et non plus seulement à des fins souveraines de contrôle d'identité et de circulation, le vrai visage, commercial, de la biométrie refait surface. Avec l'appui enthousiaste de l'Etat, qui participe pleinement à la commercialisation de cette technologie, au nom de la constitution de "champions nationaux".  Au détriment du respect de la vie privée et de nos libertés.

Pourtant, outre le célèbre livre bleu du GIXEL, le lobby de la biométrie, préconisant d' "habituer" les consommateurs dès leur plus jeune âge à ces techniques de contrôle (cf. ici L'identité électronique, pour l'Etat, les enfants ou le marché ?, 28 mai 2012), cette extension était prévue dès le départ, et la CNIL ne pouvait guère l'ignorer. Ainsi, le quotidien économique belge Trends-Tendance évoquait, en septembre 2002 ("Montre-moi ton œil, je te dirai qui tu es", 19-09-02), le modèle de diffusion économique formulé par le cabinet de consultant Arthur D. Little:  

La première étape, dite de haute sécurité, consiste en une phase d'expérimentation et d'application en conditions de contrôle et d'environnement de sécurité maximum, réservée à un petit nombre d'utilisateurs.

La deuxième étape, dite de contrôle d'accès, implique un plus grand nombre d'utilisateurs dans un nombre restreint de situations: la plupart des applications concernent ici  le contrôle physique et les accès à des réseaux.

La troisième étape, celle du contrôle de transactions, fournit des applications à grande échelle, principalement dans l'identification et les zones d'accès: e-commerce, infrastructures publiques et services financiers.

La quatrième étape, d'authentification et d'identification de masse, offre de très nombreuses applications: intégration complète avec les infrastructures publiques, premières solutions pour le marché consommateur.

Nul complot ici, mais une stratégie commerciale pleinement mûrie et réfléchie, à laquelle les Etats, et notamment Paris et Washington, ont apporté leur soutien le plus total.  Qu'importe si le modèle d'Arthur Little a été démenti par les faits ? Puisqu'en effet, l'identification de masse a joué dès le départ, via la mise en place du passeport et du visa biométrique, et que le contrôle des transactions demeure marginal. L'idée était bien de procéder à une généralisation progressive de cette technologie, à des fins purement commerciales.

La victoire remportée par les salariés luttant contre le pointage biométrique montre néanmoins que ce processus n'a rien d'irréversible, et que le mouvement social a un rôle à part entière dans l'élaboration du droit. Ne reste plus qu'aux lycéens à intensifier leur contestation, souvent relayée dans la presse régionale mais presque toujours ignorée de la presse nationale, et aux associations de consommateurs de se saisir de ce nouvel enjeu.

  Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.

La carte VISA biométrique débarque en France, Vos Papiers!, 02/04/10

 L'identité électronique, pour l'Etat, les enfants ou le marché ?, Vos Papiers!, 28 mai 2012

 La gauche et l'avenir de la reconnaissance faciale (1), Vos Papiers!, 18/05/12

L'Autorisation unique n° AU-007 ne porte plus sur les contrôles d'horaires des salariés, CNIL, 23-10-12

Natural Security teste le paiement biométrique chez Auchan et Leroy Merlin, La Tribune, 23-10-12

Le paiement biométrique avec le doigt expérimenté chez Auchan, 01 Net-AFP, 23-10-12

Ceux qui montrent patte blanche mangeront, Libération, 28-10-02

Une banque de sperme de célébrités? Entre buzz et réalité

''Fame Daddy est le premier service au monde à offrir un portfolio top-class de sperme de célébrités'', annonce le site ''famedaddy.com'', créant ainsi le buzz. Quelques jours après, ''Les Inrocks'' relaient un article du ''Independent'', qui s'excuse platement devant ses lecteurs pour avoir gobé le canular.

La vraie Fame Daddy existe déjà... où comment choisir son donneur

Et si c'était vrai? La plus grosse banque de sperme américaine, la California Cryobank, propose depuis des années un service très semblable: on propose ainsi au client de choisir, pour quelques centaines de dollars, le profil du donneur. En effet, contrairement à la France, qui interdit la vente de gamètes (sperme ou ovocytes) ainsi que de sang, les Etats-Unis l'autorisent - ce qui a suscité plusieurs études économiques sur les mérites comparés du système du don ou du système marchand, certains montrant que le don rivalisait largement avec la monnaie en tant que motif de délivrance des gamètes.

Ainsi, le site propose un premier menu déroulant, où l'on détermine la couleur des cheveux, des yeux, ainsi que "l'origine ethnique" (sic) du donneur ("Amérindien ou Natif d'Alaska", "Asiatique", "Noir ou Afro-Américain", "Caucasien", "Indien de l'Est", "Hispanique ou Latin", "Moyen-Oriental ou Arabe", "Mixe ou Multi-ethnique", "Natif d'Hawaï ou autre habitant d'une île du Pacifique"). Passons sur ces catégories "ethniques" digne de la "science" d'un des multiples épigones d'un Gobineau ou d'un Vacher de Lapouge. 

Lors de la crise de la "vache folle", il était difficile de trouver le profil "blond aux yeux bleus", notamment d'origine danoise, la FDA (Food and Drug Administration, l'autorité sanitaire fédérale) ayant alors interdit l'importation de sperme d'Europe !

Une fois cliqué sur ce premier menu, une seconde page s'ouvre, bien plus détaillée: on peut désormais aussi choisir la taille du donneur, la texture des cheveux, le groupe sanguin, la nationalité des parents, mais aussi... son niveau d'études, son métier, sa religion... et s'il ressemble à une star, une liste de noms de people étant fournie (le service donor-look-alikes, sur la première page, permet d'aller directement vers cette liste).

Il faudra payer encore 250 $ pour obtenir une photo d'enfance du donneur ainsi qu'un entretien avec lui (probablement téléphonique, puisque la loi impose l'anonymat du donneur, ce qui empêche aussi de montrer une photo récente de lui)... ou 20$ pour une analyse graphologique de son écriture. En tout, avec la conservation, et autres services, cela monte vite à quelques milliers de dollars. 

Le site propose aussi des featured donors, mis en UNE : ainsi, le donneur  n°11 885, qui ressemble à Benicio del Toro, Johnny Galecki ou Tyler Labine, est: 

"très intelligent, créatif et expressif - le mix parfait pour un avenir brillant en tant que réalisateur de films. Il est le plus heureux lorsqu'il rend les autres heureux, et se considère par nature comme quelqu'un prenant soin des autres, qui tient en grande estime la confiance dans ses rapports amicaux (sans surprise, il cite St Bernard comme son animal préféré). Une personne très logique, il a parfois l'impression de trop penser aux choses, et aimerait être un petit peu plus spontané. Il aime lire, voyager, ainsi que le foot, et adorerait visiter un jour l'Irlande afin de se rapprocher de ses ancêtres."

Sa taille, couleur des yeux, etc., est précisée, ainsi que son "origine ethnique", qui oscille apparemment entre "l'Hispanique ou Latino" et le "Caucasien". Sa famille est d'origine hondurienne et irlandaise.

Dès 2001, le Los Angeles Times indiquait que la firme avait des locaux près de l'Université de Stanford, de l'UCLA, d'Harvard et du MIT, ce qui, selon son boss, lui permettait de recruter facilement des donneurs promis à un avenir brillant... et faire ainsi miroiter le même avenir à l'enfant espéré !

L'eugénisme libéral

Etonnament, peut-être, si on trouve sur le quotidien californien une tribune, The Daddy dilemma (16/04/07),  s'insurgeant contre la perte du modèle "biologique" de la famille - citant des cas où des juges ont autorisé à ce que deux mères soient inscrites sur un certificat de naissance, voire trois personnes: deux femmes et un homme - on ne trouve que très peu de critiques de ce qu'Habermas avait désigné sous le terme d'"eugénisme libéral"...

La banque de sperme, qui existe depuis 1977, fait cela depuis quelques années. Ce n'était en effet vraisemblablement pas le cas dans les années 1980: un documentaire de 2011 retrace l'histoire d'une enfant conçue via la California Cryobank, qui, partie à la recherche de son donneur, découvre l'existence d'une demi-douzaine de "demi-frères" et "sœurs". Son donneur, touché par cette quête, décida ensuite de révéler son identité. Il s'agissait d'un vagabond, vivant dans un van sur Venice Beach, qui gagnait 50 $ à chaque donation ... Un frère de Jim Morrison?

Selon le philosophe Michael Sandel ("The case against perfection", The Atlantic, avril 2004), qui rappelle l'échec commercial d'un entrepreneur, Robert Graham, qui voulait obtenir des Prix Nobel leur sperme, aujourd'hui, la California Cryobank peut payer jusqu'à 900$ par mois pour un don de sperme.  Pour un ovocyte, le prix offert par certaines banques peut aller jusqu'à 100 000 $ (Dov Fox, Racial Classification in Assisted Reproduction, Yale Law School, 2009) !

Sandel rappelle que le philosophe libertarien Robert Nozick suggérait de créer un "supermarché génétique" afin de permettre aux parents de designer leurs enfants... Même le philosophe acclamé John Rawls, qui, contrairement à Nozick, ne milite pas pour le droit de passer un contrat d'esclavage, proposait de permettre "l'amélioration génétique" tendancielle des générations (section 17, "tendance vers l'égalité", de la Théorie de la justice) !

Aux Etats-Unis, 23 des 28 banques de sperme proposent d'informer leurs clients sur la couleur de la peau du donneur, indiquait Dov Fox, qui a obtenu le Student Prize de Yale. L'eugénisme libéral est-il raciste?

Le mythe du "tout génétique"

Est-il utile d'entrer dans un débat moral? Le cas échéant, il faudrait commencer par souligner un fait: les clients de la California Cryobank, outre faire la preuve d'un lamarckisme radical en considérant utile de connaître la profession du donneur, font également partie des nombreuses victimes de la "révolution génétique" laissant croire que les gènes déterminent tout. 

Ils n'ont jamais entendu parler de l'épigénétique, c'est-à-dire de l’étude des influences de l’environnement cellulaire ou physiologique sur l’expression de nos gènes. Un rapport de l'INSERM de 2006 (Tests génétiques. Questions scientifiques, médicales et sociétales) donne un exemple parmi d'autres de ce type de phénomène, qui commence dès la formation de l'embryon et se poursuit au long de la vie :

deux personnes génétiquement identiques (des jumeaux vrais) acquièrent progressivement, au cours de leur vie, des modifications épigénétiques qui entraînent des modalités différentes d’utilisation des mêmes gènes, participant ainsi à la construction de leur singularité, et pouvant être impliquées dans les discordances de risque de développement de certaines maladies qui toucheront un jumeau et pas l’autre...

Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.

Google hors-la-loi, selon l'enquête du G29

Too big to regulate? Le cas Google, épinglé par la CNIL et ses homologues européens, pose in fine la question non pas seulement de la régulation de la firme, mais de la capacité de telles autorités de protection des données personnelles à assurer leur mission.

D'une part, le modèle économique de Google lui-même semble réfractaire aux principes du droit des données personnelles. D'autre part, peut-on se contenter, en de telles matières, d'une co-régulation et de procédures de recommandations émanant de la CNIL et consorts ? Ne faut-il pas sanctionner, plutôt que simplement encourager ?

L'enquête du G29 sur les règles de confidentialité de Google

Google, qui « a en Europe une part de marché d'environ 90 % sur les moteurs de recherche et d'environ 50 % sur les systèmes d’exploitation de smartphones », vient de se faire taper sur les doigts par l'ensemble des CNIL européennes, comme l'annonce le site de la Commission nationale Informatique et Libertés (site peu "user friendly" au demeurant, avec des changements d'URL, des liens morts, et un archivage peu lisible, en particulier pour les documents du dossier /fileadmin/...).

La CNIL a en effet été chargée par le G29, qui réunit les autorités de protection des données personnelles de l'UE, de l'enquête sur les Règles de confidentialité adoptées par le moteur de recherche et refondues en mars 2012 afin d'être les mêmes pour tous les services de la firme. Avertissement repris par l'Asia Pacific Privacy Authorities...

Combiner n'importe quelle donnée, de n'importe quel service, pour n'importe quelle finalité... 

La lettre du G29 explique le mieux la situation :

En second lieu, l'enquête a confirmé nos inquiétudes [our concerns] concernant la combinaison des données entre les différents services [gérés par Google]. La nouvelle politique de protection des données personnelles (Privacy Policy) permet à Google de combiner presque n'importe quelle donnée de n'importe quel service pour n'importe quelle finalité [The new Privacy Policy allows Google to combine almost any data from any services for any purposes.].

En bref, l'ampleur prise par ce qui n'était, à l'origine, qu'un moteur de recherche, mais dont les activités se démultiplient, suscitant aux Etats-Unis l'intérêt de la Federal Trade Commission (FTC) chargée de la réglementation anti-trust (Washington Post, 15/10/12), constitue une réelle menace sur notre vie privée ; à titre d'exemple sur ce que le data-mining permet, cf. VISA prédit les divorces, Vos Papiers!, 15/04/10.

Ainsi, Google s'affranchit allègrement des principes les plus élémentaires de la législation Informatique et libertés, tel que codifiés, notamment, par la directive 95/46/CE sur la protection des données personnelles. La CNIL rappelle ainsi que « la combinaison de données entre services doit respecter les principes de la proportionnalité, de limitation des finalités, de minimisation de données et du droit d’opposition. Google ne souscrit pas publiquement à ces principes » (ici et au long du texte, il s'agit de la CNIL mandatée par le G29 qui parle). 

Des données multiples, de l'historique de navigation aux données biométriques ...

Ces données sont multiples: il s'agit tant de données de connexion et de navigation, que de données personnelles, telles les adresses IP, la localisation géographique, le numéro de téléphone, le numéro de carte crédit, ainsi que les données biométriques, en particulier celles liées à la reconnaissance automatisée du visage (il s'agit de la fonction 'Find My Face', comme ne le précise pas la CNIL), qui n'est « pas mentionnée dans les Règles actuelles » de confidentialité (CNIL, ibid).

... à des fins diverses, de la fourniture de services à la publicité ciblée jusqu'à la recherche universitaire.

A quoi servent ces données? Ceci n'est pas expliqué par Google, contrairement aux principes d'information, sans parler du respect de la proportionnalité quant à la finalité poursuivie. Or, l'un des problèmes majeurs concerne ce mélange des genres : Google s'est fait une spécialité d'accumulation de données brutes, pouvant être utilisées voire vendues ensuite, sans trop savoir à quels usages. En bref, son modèle économique repose sur cette accumulation de données : aux utilisateurs-clients qui voudront y accéder d'y trouver une utilité, et si celle-ci est répréhensible, Google s'en lave les mains...

Ainsi, selon la CNIL:

Le Groupe de l’Article 29 a identifié huit différentes finalités pour la combinaison de données entre les services de Google :

- La fourniture de services où l'utilisateur demande la combinaison des données (cas n° 1) (ex. : Contacts et Gmail)

- La fourniture de services demandés par l'utilisateur, mais où la combinaison des données s'applique sans que l'utilisateur n'en soit directement informé (cas n° 2) (ex. : personnalisation de résultats de recherche)

- Finalité de sécurité (cas n° 3)

- Finalité de développement de produits et d'innovation marketing (cas n° 4)

- La mise à disposition du Compte Google (cas n° 5)

- Finalité de publicité (cas n° 6)

- Finalité d'analyse de fréquentation (cas n° 7)

- Finalité de recherche universitaire (cas n° 8)

 Or, 

Pour quatre des huit finalités susvisées, le Groupe de l’Article 29 a établi l'absence de base légale pour la combinaison de données entre services.

C’est le cas de la fourniture de services où la combinaison des données s'applique sans que l'utilisateur n'en soit directement informé (cas n° 2) et des finalités de développement de produits et d'innovation marketing (cas n° 4), de publicité (cas n° 6) et d'analyse de fréquentation (cas n° 7).

En clair: Google est hors-la-loi. Les principes les plus élémentaires du droit de la protection des données personnelles (principe de proportionnalité, de finalité, d'information, etc.) ne sont pas respectés. La possibilité d'opt-out n'existe pas, a fortiori pour les utilisateurs « secondaires », ou « passifs »,  de Google (« Les utilisateurs passifs, selon la définition figurant dans le questionnaire envoyé le 16 mars, sont des utilisateurs qui ne sollicitent pas directement un service Google, mais dont les données sont malgré tout collectées, généralement par le biais de plateformes publicitaires tierces, d’analyses ou de boutons +1 »). De plus, « Google n'a pas été en mesure de fournir une durée maximale ou habituelle de conservation des données personnelles traitées »....

S'agissant de l'analyse de la fréquentation, lié au service AdWords, la CNIL précise :

En ce qui concerne Google Analytics et la combinaison de données à des fins d'analyse de fréquentation, des mécanismes spécifiques de protection ont été mis en place pour les utilisateurs allemands : la combinaison de données entre services est exclue, un contrat spécifique est signé entre Google et le site web et les clients peuvent automatiquement anonymiser l'adresse IP partagée avec Google. Ces conditions peuvent assurer une protection adéquate des données personnelles et devraient être étendues à tous les États membres européens.

Too big to regulate ? Quand le G29 « encourage » Google à respecter le droit...

Cette indifférence hautaine de Google envers les  principes élémentaires du droit de la protection des données personnelles pose question. Comment, par exemple, la firme peut-elle ne pas être « en mesure de fournir une durée maximale ou habituelle de conservation des données personnelles traitées » ? 

Il ne s'agit pas là, a priori, d'une requête exorbitante. Chaque traitement de données autorisé par la CNIL, ne serait-ce que par la procédure simplifiée, est censé respecter ces principes. Ce qui représente un coût pour les PME (mise en place des correspondants Informatique et libertés, etc.). Or, Google, qui effectue des bénéfices records, aura du mal à nous faire pleurer en mettant en avant le coût du respect du droit.

S'abritant derrière le secret commercial de ses algorithmes, la firme se fonde sur un modèle économique opaque, d'accumulation de données brutes concernant les internautes, qu'elle espère bien pouvoir commercialiser. Quant à la question de l'usage, que ce soit par elle, ou par ses clients, de ces données, elle ne s'y intéresse guère... 

Dès lors, la vraie question est de savoir si on peut se contenter de simple « recommandations » du G29, qui n'ont aucun caractère contraignant, alors même qu'il a constaté l'absence de base légale du fonctionnement de Google. Suffit-il, par exemple, de ce que « le Groupe de l’Article 29 encourage Google à respecter le principe d’une durée de conservation strictement limitée au regard des finalités » ?

Ceci, d'autant plus que, selon la CNIL, « les risques associés à la combinaison de données entre services sont élevés pour les personnes concernées : violation de données, malveillance interne, réquisitions judiciaires, etc. », et qu'on sort donc du champ strict du droit à la vie privée pour entrer dans le champ du droit pénal. Vu l'importance des enjeux, la procédure de « co-régulation » à l'amiable, appelée de ses voeux par le G29, paraît douteuse.  

La CNIL est habilitée à prendre des mesures de sanction : ne serait-ce pas, vu l'étendue des activités illégales (pardon, privées de base légale) de Google, opportun ? La Commission européenne, les Etats-membres, le Parlement européen et les tribunaux ne devraient-ils pas prendre ce sujet à bras-le-corps, en exigeant que tout ceci soit éclairci par Google, et de façon générale par les firmes fonctionnant sur des modèles similaires (Facebook, etc.) ?

Etant donné le modèle économique même sur lequel est fondé Google, il est en effet peu probable que la firme se conforme d'elle-même au droit commun. En fait, le respect des principes élémentaires du droit, notamment des principes de proportionnalité, de finalité, et de durée de conservation, vont à l'encontre même du modèle Google, fondé sur l'exploitation de données brutes à des fins encore indéterminées.

Voir aussi, sur ce site :

Messages labellisés Google, dont, en particulier :

Google et le mot-clé "juif": devant les juges, 10 mai 2012

Google et le droit à l'oubli en Espagne, 8 février 2011

Et Data-mining: VISA prédit les divorces, 15 avril 2010

Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.