Qu’est-ce que le Règlement général sur la protection des données, qui entre en vigueur en mai?

Au Royaume-Uni, pour des questions de confidentialité, les empreintes vocales biométriques des escrocs ne sont pas partagées entre les banques. © ISTOCK

En mai, l’Europe se dotera d’un règlement pour mieux protéger les données personnelles des citoyens européens. Mais une législation trop contraignante peut avoir des effets pervers.

Les voitures modernes sont des ordinateurs sur roues. Quand on les conduit, elles collectent une grande quantité de données, qui servent ensuite à les améliorer. Mais ces données peuvent être exploitées utilement à d’autres fins, comme rendre les routes plus sûres. Quand un grand nombre d’automobiles signalent aux autorités responsables des transports que leur système de freinage automatique s’est déclenché sur tel ou tel tronçon de route, cela peut souligner la présence d’un virage dangereux ou d’une grande plaque de verglas. Des panneaux ou des dos-d’âne peuvent alors être installés pour prévenir les accidents.

Une telle solution ne peut pourtant pas être mise en oeuvre en Allemagne, en raison de certaines dispositions de sa législation qui protègent la vie privée. Dans le droit européen, le “paramètre par défaut” est d’accorder aux personnes physiques la propriété de leurs données. La protection de la vie privée a donc pour effet secondaire indésirable de rendre les routes allemandes un peu moins sûres.

Cette situation se répète, de différentes façons, sur l’ensemble du continent. Quand le Règlement général sur la protection des données (appelé aussi GDPR) entrera en vigueur en mai 2018, il renforcera les droits des personnes physiques à contrôler leurs données et durcira les sanctions contre les entreprises qui les utilisent à tort. Une telle initiative a un coût: elle empêchera la collecte, le partage et l’analyse de données qui seraient profitables à la société.

Un climat d’inquiétude

Prenons la fraude bancaire. Les criminels ont souvent recours à la méthode suivante: ils contactent des centres d’appel en se faisant passer pour les détenteurs d’un compte, afin de modifier les coordonnées de contact et le mot de passe; ils peuvent ensuite ponctionner le compte. Mais si les appels sont enregistrés, leur transformation en données permet de disposer des “empreintes vocales” des fraudeurs connus. Celles-ci peuvent alors être comparées en temps réel, pendant la conversation téléphonique, aux voix de personnes suspectes. Au Royaume-Uni cependant, pour des questions de confidentialité, ces empreintes vocales biométriques ne sont pas partagées entre les banques. Et celles-ci doivent prendre des mesures supplémentaires pour identifier les voix des criminels. Le grand public, angoissé face à la cybercriminalité, subventionne donc des pertes financières, en échange d’une prétendue protection de la vie privée.

Le but n’a jamais été d’en arriver là. Le GDPR comporte d’ailleurs des exceptions afin de faciliter l’utilisation de données pour ce type d’activités. Le problème, c’est que cette législation crée un climat d’inquiétude, une culture de la non-utilisation et des obstacles juridiques coûteux. Il est ainsi plus facile pour des dirigeants de se passer des avantages inhérents à l’utilisation de données personnelles que de prendre un risque et de batailler avec leurs services juridiques – d’autant que les sanctions seront plus lourdes s’ils se trompent.

Les médias n’aident pas, en restant aux aguets. Le tollé qu’a provoqué le partenariat pour l’analyse de données mis en place entre 2015 et 2017 entre DeepMind, filiale de Google, et le service de santé du Royaume-Uni, le National Health Service (NHS), en est une illustration. L’autorité britannique de protection des données personnelles est intervenue avec fracas médiatique en raison de modestes erreurs de bureautique – des erreurs si minimes qu’en fin de compte il n’y a eu ni amende ni ordonnance pour interrompre ces activités.

L’incident a néanmoins fait l’effet d’une douche froide à toutes les entreprises du secteur technologique souhaitant analyser des données afin de trouver de nouveaux traitements pour des maladies. Certaines personnes vont donc peut-être souffrir, voire même mourir, pour rien. Mais, au moins, leurs données personnelles auront été stockées de manière sûre.

Par Kenneth Cukier.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Partner Content