Le 28 janvier 2021, la journée mondiale de la protection des données a fêté ses 40 ans. La Data privacy day en anglais fut créée symboliquement, le 26 avril 2006, par le comité des ministres du Conseil de l’Europe. Contrairement à bien d’autres journées mondiales, la date du 28 janvier n’a, quant à elle, pas été choisie au hasard. En effet le 28 janvier 1981, la Convention 108 ou Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel fut ouverte à la signature des Etats. L’objectif évident de cette journée est avant tout de sensibiliser tout citoyen européen sur l’importance de la protection de ses propres données.
La Convention 108 à l’origine de la protection des données
La Convention 108 revêt un caractère unique et ne connaît aucun autre équivalent sur le plan international. Elle constitue ainsi le premier texte juridique international contraignant visant à protéger les données à caractère personnel. Toutefois, compte tenu de la rapide expansion et de la prédominance du digital dans notre vie professionnelle ou personnelle, le Conseil de l’Europe a jugé nécessaire de la moderniser. Quelques changements et mises à jour plus tard etla Convention 108 est rebaptisée sous le nom de « Convention 108+ ». Celle-ci compte à l’heure actuelle 55 Etats parties et de nombreux pays observateurs. Bien que la Convention 108 n’ait pas eu le succès escompté, elle a tout au moins, eu le mérite de servir de socle juridique en matière de protection internationale des données personnelles et sensibles.
Quelle différence entre une donnée personnelle et une donnée sensible ?
Selon la CNIL (Commission Nationale de l’Informatique et des Libertés), une donnée personnelle se définit par « toute information se rapportant à une personne physique identifiée ou identifiable ». Et parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise. Concrètement, une personne physique peut être identifiée directement par son nom et son prénom par exemple et indirectement par un numéro de téléphone par exemple ou une plaque d’immatriculation mais aussi à partir du croisement d’un ensemble de données tel qu’une personne adhérente à telle association et vivant à telle adresse. Toujours selon la CNIL, les données sensibles, quant à elles, sont celles relevant de l’origine raciale ou ethnique, portant sur les opinions politiques, philosophiques ou religieuses. Ce sont aussi les donnéesrelatives à l’appartenance syndicale, et celles concernant la santé ou l’orientation sexuelle. Elles peuvent aussi être génétiques ou biométriques, d’infraction ou de condamnation pénale. Dans tous les cas, leur traitement est en principe interdit !
Le 28 janvier, une date bien plus que symbolique
Non, la journée mondiale de la protection des données n’est pas seulement symbolique si l’on considère les milliards de fichiers composés d’informations personnelles qui circulent sur l’Internet et plus particulièrement sur le Dark Net. Fin février, le grand public apprenait, entre autres, la fuite d’une base de données médicales de 2 500 000 Français, l’achat de millions de mots de passe associés à des adresses mails et autres obscures ventes. Ces transactions traitées par des organisations criminelles se chiffreraient en milliards d’euros. Europol confirme d’ailleurs « qu’il y a eu une hausse l’an dernier des volumes de base de données compromises en vente sur le Dark Web sur les places des marchés généralistes comme sur les forums spécialisés dans ce but précis ». L’agence européenne précise également que « la donnée est une marchandise précieuse qui ouvre la porte à d’autres types de criminalité rentables ».
Des données personnelles aux données biométriques
Si la vente de données personnelles fait couler beaucoup d’encre, celle des données biométriques en a scandalisé plus d’un comme le lanceur d’alerte Edward Snowden. Tout récemment, ce dernier dénonçait le « catalogue de globes oculaires » de Worldcoin. Le projet Worldcoin mené par deux experts de l’Intelligence Artificielle, Sam Altman et Alex Blania, a pour objectif de créer une cryptomonnaie accessible à tous, sans compte en banque et distribué de manière égale dans le cadre de dons de cryptomonnaies très courants dans le secteur. Et pour s’assurer que l’utilisateur puisse prouver son identité de façon fiable sans tout dévoiler de sa vie, les deux experts ont créé l’Orb : système d’authentification via les données biométriques. En clair, l’Orb (sorte de sphère en métal de 2 kilos et demi) photographie l’œil de l’utilisateur et le convertit en code numérique permettant de savoir s’il est déjà inscrit ou non. Si tel n’est pas le cas, l’utilisateur reçoit alors sa part de cryptomonnaie. Quelle utilisation Worldcoin fera-telle des scans d’iris ? Les experts de la start-up assurent que les scans des premiers usagers ont été effacés. Notons que 130 000 personnes de plusieurs pays ont déjà participé à la phase de test. Snowden, quant à lui, insiste via un tweet, que les codes numériques des iris restent, eux, conservés par la société et que cette pratique met fortement en danger la protection de la vie privée. Soyons clairs : partager l’image de sa rétine contre des cryptos revient tout simplement à vendre ses données.
Que l’on fasse un achat en ligne, se connecte à notre réseau social préféré ou consulte nos factures ou notre compte bancaire en ligne, nos données personnelles deviennent exploitables et vulnérables si l’on n’en prend pas pleinement conscience. A l’heure où les Gafam sont rappelés à l’ordre sur leurs pratiques plus que douteuses, à l’heure des révélations de scandales tels que le Facebook-Cambridge Analytica, adoptons les bonnes pratiques d’utilisation qui ne se limitent pas à l’installation d’un anti-spam ou d’un firewall. La journée mondiale de la protection des données nous rappelle tout simplement que nos informations personnelles, qu’elles soient sensibles ou non, ont de la valeur. En ce sens, il est donc primordial de les protéger comme si notre vie en dépendait…
Béatrice Pech-Garcia