Intervention de Virginie Klès

… mais guère sur ce que font aujourd’hui les autres pays des données contenues dans notre passeport biométrique français.

Les données personnelles, sensibles, quelles sont-elles, finalement ? La perception que nous en avons dépend beaucoup de notre culture, de notre façon de vivre. Sans aller chercher chez nos amis outre-Atlantique, même en Europe, on constate que les données biométriques, qui sont considérées en France comme des données sensibles, ne le sont pas en Allemagne.

Les données biométriques sont d'ailleurs classées en France en deux catégories, selon qu’elles sont avec traces et sans traces : la distinction est-elle encore valable ? La voix n’est-elle pas devenue une donnée biométrique avec traces ? Dans un passé peu éloigné, des reconstitutions de voix ont permis d’identifier des suspects dans plusieurs affaires dont certaines avaient défrayé la chronique.

L’empreinte digitale, nous dit-on, est traçante. Or il est aujourd'hui possible de fabriquer de fausses empreintes digitales et d’en laisser partout. Par ailleurs, dans le cas de la combinaison d’une empreinte digitale et d’une empreinte morphologique interne, comme le lacis veineux d’un doigt, sommes-nous encore dans un concept d’empreinte biométrique traçante ? Ce n’est pas sûr !

Cette conception même des empreintes, traçantes et non traçantes, des données, sensibles et non sensibles, n’est-elle pas en train d’être dépassée ? Ne convient-il pas justement de se pencher sur la question ? Face aux évolutions technologiques, faut-il se contenter des classifications établies et s’en tenir aux principes initiaux ou bien ne doit-on pas aller de l’avant et même prendre les devants ?

Nos données bancaires sont-elles des données sensibles ? Mon compte en banque ne regarde que moi, a-t-on envie de répondre. Pourtant, il a été décidé ici même, voilà peu, de rendre publiques les données bancaires et patrimoniales de certains d’entre nous en tant que personnes publiques.

Par conséquent, les frontières évoluent sur ces questions de données sensibles, données privées, et ne répondent pas aux classifications simples de type oui/non, blanc/noir.

Chacun d’entre nous a-t-il bien conscience de toutes les traces qu’il laisse dès qu’il clique sur internet ? Les citoyens sont-ils bien conscients de la valeur commerciale de ces traces, qui, amalgamées, constituent des fichiers dont ils n’ont pas forcément connaissance de l’existence même ?

On a parlé du profilage, réalisé la plupart du temps à notre insu, de ces fichiers d’une grande valeur commerciale qui attisent les convoitises, y compris celle des hackers, et peuvent se trouver transférés dans d’autres mains, pour d’autres objectifs que ceux pour lesquels les données sont initialement collectées.

Mme Lipietz disait qu’il faut parfois protéger les citoyens contre eux-mêmes, contre leur gré. Dès lors, faut-il toujours recueillir l’accord des citoyens pour récolter des données ? L’accord exprès des personnes souffrant d’une addiction au jeu, par exemple, est-il nécessaire pour, de façon anonyme, leur interdire l’entrée des salles de jeu ? Dans certains cas, la protection des personnes ne prime-t-elle pas sur la nécessité de recueillir leur accord ?

Toutes ces frontières et distinctions paraissent évidentes en théorie, mais les termes du débat se révèlent plus complexes. Nous nous rejoindrons donc sur les principes, le double souci de la protection des libertés publiques et de la sécurité, mais d’autres questions appellent des réponses particulièrement complexes si l’on refuse de se laisser envahir par la technologie ou entraîner par elle, et si l’on veut, bien au contraire, la maîtriser en amont.

Comment conserver l’équilibre entre, d’une part, les avancées de la technologie et les bienfaits qu’elles peuvent nous apporter et, d’autre part, leur régulation, leur contrôle ? Les « CNIL » du monde entier ont-elles les moyens, aujourd’hui, de tout contrôler ? Les contrôles, quant à eux, doivent-ils être réalisés produit par produit ou selon des processes et des méthodes normalisées ?

Il est beaucoup question du contrôle privacy by design. Peut-être faut-il s’y rallier, mais peut-être faut-il aussi sanctionner très fortement – en tout cas plus qu’aujourd’hui – les entreprises qui ne sont pas capables de faire respecter le process qu’elles ont mis en place afin de garantir la sécurité et le respect de la vie privée.

Oui, cher Gaëtan Gorce, je suis entièrement d’accord avec vous : nous avons tous droit – tous ! – à ce morceau de vie privée qui ne concerne personne d’autre que nous. Il faut impérativement le respecter, même si l’équilibre est difficile à trouver. Certes, nous devons protéger les intérêts économiques de nos entreprises, en Europe et dans le monde, parce qu’il nous faut rester présents à l’échelle planétaire si nous voulons garder voix au chapitre, mais nous devons aussi garder le contrôle et savoir dans quelle société nous voulons vivre.

Notre débat n’apportera sans doute pas toutes les réponses - la matière est par nature trop compliquée -, mais, si nous avons pu soulever de bonnes questions, nous aurons avancé et servi la société dans laquelle nous voulons vivre.