Par Anne-Marie Buzatu
Les données numériques sont l’or du XXIe siècle. Il est quasiment impossible de naviguer sur un site web, de rédiger un courriel ou d’utiliser une application mobile sans générer de grandes quantités de données. Ces données sont, à leur tour, avidement happées par des fournisseur·ses en ligne et vendues à toute une série de client·es pour des raisons plus ou moins louables. Cette pratique est préoccupante car, contrairement à l’or, au pétrole ou à d’autres marchandises de valeur, ces données ne sont pas anonymes : elles sont empreintes de nos pensées, de nos habitudes et de nos préférences. Cette empreinte numérique révèle les aspects les plus personnels de notre vie privée et devient le fondement de l’économie numérique. Comme le dit le dicton, « lorsque vous utilisez des offres en ligne et que vous ne savez pas quel est le produit, alors vous êtes le produit ».
Certaines personnes ne s’inquiètent guère de cet état de fait et arguent qu’elles n’ont « rien à cacher » et veulent juste utiliser des services « gratuits ». Ce raisonnement pourrait être valable pour les personnes qui vivent dans des sociétés démocratiques fonctionnant raisonnablement bien et qui ont confiance dans les garanties visant à empêcher l’utilisation abusive des données, en particulier lorsqu’il s’agit de la violation de nos droits humains fondamentaux. Néanmoins, ces attitudes posent problème car ces données sont utilisées à des fins dont la plupart des gens n’ont pas conscience et qui échappent à tout contrôle. Au cours des soixante-quinze dernières années, les normes relatives aux droits humains ont contribué à protéger l’intégrité personnelle des individus. Or, la nouvelle « ruée vers l’or » étant désormais bien engagée, il est grand temps d’appliquer les mêmes normes de droits humains à l’espace numérique.
À un extrême, on peut citer une série de reportages du Times en juin et juillet 2022 sur l’« État de surveillance » en Chine. Dans la ville de Zhongshan, des microphones sont distribués avec des caméras vidéo pour enregistrer et analyser les conversations au moyen d’un logiciel de reconnaissance vocale et collecter les empreintes vocales dans une base de données. Un autre rapport révèle que, au Xinjiang, où vivent des millions de Ouïghours, un entrepreneur a construit une base de données pouvant contenir les scans de l’iris de 30 millions de personnes et que ce même entrepreneur est en train de développer les mêmes bases de données dans d’autres régions du pays. Toujours selon ce rapport, le Gouvernement chinois capture et consolide tous ces points de données dans le but premier de dresser « un profil complet pour chaque citoyen » et d’utiliser la surveillance de masse pour asseoir son régime autoritaire. Un article de la BBC fait état de l’utilisation d’une application Covid-19 par les autorités chinoises pour repérer les personnes impliquées dans des manifestations ; ces personnes ont été signalées à tort comme étant positives au covid, ce qui a ensuite empêché leur libre circulation. Voilà qui donne un tout nouveau sens à la politique chinoise du « zéro Covid ».
Ces réalités font penser à un 1984 orwellien des temps modernes, et ne se limitent malheureusement pas à la Chine. Aux États-Unis, il a été récemment révélé que des sociétés de télécommunications vendent les coordonnées géographiques précises de personnes générées par les publicités sur leurs téléphones portables. Le New York Times a rapporté en janvier 2021 que des agences militaires américaines achetaient des données de géolocalisation de téléphones portables à des courtier·es tiers pour tracer les déplacements des utilisateurs sans aucune contrôle judiciaire. Pourtant, une de la Cour suprême des États-Unis en 2018 avait conclu que les protections de la Constitution américaine contre les « perquisitions et saisies déraisonnables » exigeaient que les agents gouvernementaux obtiennent un mandat judiciaire pour se procurer ces mêmes informations directement auprès des compagnies de téléphone. Les sociétés de téléphonie mobile vendent couramment ces informations à des courtier·es tiers, qui les revendent ensuite généralement à des annonceur·ses à des fins de marketing. Comme ces informations sont librement disponibles sur le marché, les instances militaires américaines estiment qu’elles devraient également pouvoir les acheter, même si elles peuvent être utilisées à des fins répressives.
Dans un secteur où le développement et les avancées sont principalement motivés par des objectifs commerciaux ou militaires, comment pouvons-nous sauvegarder les droits de l'homme tout en réalisant les énormes potentiels éducatifs, artistiques et sociétaux des TIC ?
Ce dernier exemple montre qu’une agence au sein d’un gouvernement démocratique peut tout à fait se procurer des informations sensibles, ostensiblement en violation de ses lois, en les achetant sur le marché libre. Cette situation n’émet pas seulement des signaux d’alarme importants en matière de gouvernance, mais soulève également la question de savoir pourquoi ces informations sensibles sont à la disposition de tous, à la seule condition de disposer de fonds suffisants pour les acheter en premier lieu. Comment traduire plus largement les notions démocratiques de vie privée et de droits humains sur le marché des technologies de l’information et des communications (TIC) ? Dans un secteur où le développement et les progrès sont principalement motivés par des objectifs commerciaux ou militaires, comment pouvons-nous protéger les droits humains tout en réalisant les énormes potentiels éducatifs, artistiques et sociétaux des TIC ?
Le premier argument est dicté par la réalité : les processus réglementaires sont trop lents pour suivre le rythme de l’évolution technologique. Des efforts ont été déployés pour élaborer des normes internationales et régir la protection des données et de la vie privée, notamment au sein de l’Organisation de coopération et de développement économiques (OCDE), ainsi que par la Coopération économique Asie-Pacifique (APEC), qui a développé le système de règles transfrontalières de protection de la vie privée de l’APEC (Cross-Border Privacy Rules ; CBPR). L’un des cadres les plus développés est le Règlement général sur la protection des données (RGPD) de 2018 de l’UE, qui est un cadre pour la protection des données et de la vie privée qui régit la collecte, l’utilisation et le traitement des données à caractère personnel des particuliers au sein de l’UE, avec des sanctions financières importantes pour les organisations qui violent le RGPD. Toutefois, étant donné que la plupart des personnes acceptent les nombreuses catégories dans lesquelles nos données sont collectées sans les examiner, le résultat est largement analogue, même pour les citoyens de l’UE. Compte tenu de cette disparité, les efforts doivent se concentrer sur l’établissement de normes de protection des droits humains plus robustes pour les types d’informations dont la collecte et le stockage sont autorisés, avec ou sans l’approbation des utilisateur·trices, ainsi que sur l’application des mécanismes de contrôle qui opèrent dans le cyberespace.
Au lieu de forcer le "cyber" à entrer dans des structures réglementaires publiques et des silos mal adaptés, les efforts devraient se concentrer sur la question du type de cyberespace que le monde veut créer - un cyberespace qui soit sûr, qui protège notre vie privée et qui permette aux gens de s'épanouir dans leurs activités quotidiennes.
Afin de faire progresser l’application des normes relatives aux droits humains en 2023, une première action prioritaire consiste à faire le point sur les cadres existants qui réglementent l’économie numérique et sur les lacunes qu’ils présentent au regard des normes relatives aux droits humains. Il faudrait également actualiser les cadres existants afin qu’ils soient plus efficaces dans leur respect des normes fondamentales des droits humains. La deuxième action prioritaire pour 2023 est de commencer à bâtir une coalition capable de développer et de piloter ces mécanismes de surveillance. Le « cyberespace » étant un espace co-créé par des acteur·rice·s commerciaux, des expert·es universitaires et techniques, des membres de la société civile, ainsi que des gouvernements, il est important d’assigner des rôles et des responsabilités spécifiques dans le cadre de cette architecture de surveillance. Au lieu de forcer le « cyber » à s’intégrer dans des structures réglementaires publiques et des silos mal adaptés, il faudrait avant tout déterminer quel type de cyberespace le monde veut créer – un cyberespace sûr, qui protège nos vies privées et qui peut donner du pouvoir aux gens dans leurs activités quotidiennes. Dans ce processus, chacun a une responsabilité, mais cette responsabilité doit être clairement définie pour chaque acteur·rice au sein de cette communauté multipartite.
Il n’y a pas de temps à perdre. 2023 devrait être l’année de l’action pour appliquer ces normes relatives aux droits humains à l’économie numérique. Il y a beaucoup à apprendre de la communauté des entreprises et des droits humains et d’autres sources d’expertise pertinentes de la Genève internationale et au-delà. Les personnes désireuses de prendre l’initiative devraient se mobiliser afin de co-construire un système de surveillance et de gouvernance efficace et multipartite pour l’économie numérique. Il ne faut pas attendre pour développer des mesures d’exploitation minière responsables applicables au « nouvel or » des données. Le but est que l’économie numérique améliore l’expérience humaine plutôt qu’elle la réprime.
À propos de l’auteur
Anne-Marie Buzatu est directrice exécutive de la Fondation ICT4Peace. Juriste internationale, elle a également travaillé pendant plusieurs années dans le secteur des technologies de l’information en qualité de développeuse web et d’administratrice de bases de données. Elle est ainsi à même de faire le lien entre les décideurs politiques et les spécialistes de la technologie et d’identifier des approches pragmatiques et efficaces en matière de politique et de gouvernance de la cybersécurité.
Clause de non responsabilité
Les opinions exprimées dans cette publication sont celles des auteurs. Elles ne prétendent pas refléter les opinions ou les points de vue du Geneva Policy Outlook ou de ses organisations partenaires. Cet article est une traduction d'une version originale en anglais. Pour toute utilisation officielle de l'article, veuillez vous référer à la version anglaise.
