L’affaire Cambridge Analytica. La Société britannique est accusée d’avoir récupéré les données personnelles de 50 millions d’utilisateurs de Facebook pour peser dans la campagne présidentielle de Donald Trump aux Etats-Unis. Elle réfute « fermement » toute accusation. Le problème toutefois ne se limite pas à Facebook. Tous les grands opérateurs internet disposent d’une masse de données personnelles – les big data – qui potentiellement peuvent être utilisées comme « marchandises » tant pour les publicitaires que pour les politiques. Cela pose donc non seulement un problème général de protections des données personnelles, mais aussi en voie de conséquence de liberté d’expression. Un problème que l’Union européenne tente de réguler depuis de nombreuses année (Avec la directive de 1995) et maintenant avec un règlement (679/2016), qui sera d’application dans tous les pays membres de l’union à partir du 1° mai. Libex vous propose l’analyse de Oreste Pollicino, tant de l’affaire Cambridge Analytica que de l’impact potentiel du règlement de l’Union européenne. Un article publié dans le Sole 24 Ore du 23 mars 2018. Merci à Oreste Pollicino de nous en autoriser la republication. Oreste est co-auteur avec G. Pitruzzella e S. Quintarelli de l’ouvrage indispensable: «Parole e potere, libertà di espressione, hate speech e fake news», Egea 2017.

La « troisième saison » de l’information
de Oreste Pollicino

Les nouvelles sur l’affaire Cambridge Analytica arrivent au moment où la Commission des experts italiens, dont l’auteur est membre, achève de réécrire la législation italienne sur la protection des données personnelles pour l’adapter au règlement de l’UE (679/2016) qui pourrait changer les règles du jeu. Nous sommes entrés dans une nouvelle saison de la vie privée: celle de la pertinence politique des données personnelles et de la nécessité de les protéger pour prévenir ou atténuer le risque de violation. Ce sont des violations fonctionnelles à la pollution du processus de formation de l’opinion publique.
Prenons un peu de recul: la rhétorique liée au vol de données qui accompagne cette histoire est trompeuse. Une « fake news ». Il n’y a pas eu de vol de données de Cambridge Analytica, mais une « publication » spontanée des mêmes données par quelques milliers d’utilisateurs qui ont utilisé une application pour participer à certains tests de personnalité en ligne. Jusqu’à présent, tout va donc (plus ou moins) bien.

Cependant, deux problèmes émergent.

Des problèmes existent cependant, et ils sont essentiellement deux.
Tout d’abord, le type d’utilisation de ces données par l’entreprise britannique.
Ensuite, la contagion sociale résultant de l’appropriation, cette fois-ci illégitime, par Cambridge Analytica, d’un nombre d’informations exponentiellement supérieur à celui initialement recueilli.

En ce qui concerne le premier problème, les informations légitimement collectées ont été utilisées pour créer des messages personnalisés visant à influencer les choix politiques de l’utilisateur. Donc, utilisés de façon illégitime. C’est cette manipulation des données personnelles qui caractérise cette nouvelle saison de la vie privée.

Le deuxième problème est encore plus délicat: l’accroissement exponentiel de l’utilisation illégitime des informations collectées et manipulées. Une amplification due au mécanisme des « amitiés virtuelles », de ceux qui ont recouru aux identifiants de Facebook pour utiliser l’application, jusqu’à impliquer, dit-on, près de 50 millions d’utilisateurs. Il y a deux certitudes qui semblent émerger d’un tel scénario encore, dans l’ensemble, très nébuleux et déroutant.

La première certitude

Comme dit ci-dessus, nous sommes entrés officiellement dans la troisième saison de la pertinence des données personnelles. Il y a eu deux saisons: la première saison était liée à l’utilisation des données pour créer des messages publicitaires avec une précision de plus en plus chirurgicale. La seconde saison était fonctionnelle pour l’accès aux données des usagers par les pouvoirs publics afin d’adopter des politiques de prévention anti-terroriste de plus en plus ciblées. Maintenant, apparaît clairement, à côté des précédentes, une nouvelle dimension, peut-être plus dérangeante car nouvelle et imprévisible jusqu’à il y a quelques mois. C’est-à-dire, la pertinence politique des données personnelles, dont l’usage pervers est utilisée pour polluer les processus de formation de l’opinion publique, en particulier lors des scrutins électoraux.

La deuxième certitude

L’antagonisme entre la vie privée vue par les européens et la vie privée vue par les américains ne semble plus pouvoir représenter la perspective privilégiée à travers laquelle aborder le problème de la protection des données personnelles à l’ère d’Internet. Le cas Cambridge Analytics révèle un impact global et la pertinence des utilisations possibles illégales des données personnelles. Et, la réponse ne peut elle aussi n’être que globale. Une forteresse européenne pour protéger la vie privée dans le vieux continent, imprenable en son sein, est certes à l’avant-garde en ce qui concerne le niveau de protection des données, mais, en même temps,  est incapable d’affronter les dangers d’une « contagion » globale et d’en prévenir les conséquences . Ainsi, existe-t-il un risque que cette protection ne devienne  un simulacre dépourvu de toute efficacité. De plus, et ce serait peut-être le plus grand échec, conduire à la persuasion morale des pouvoirs publics et privés, non européens.

Une forteresse sans pont-levis, c’est-à-dire sans interconnexion avec l’extérieur, est une forteresse inutile.

Oreste Pollicino est Professeur de droit constitutionnel à l’Université Bocconi, et Membre du groupe de travail présidé par le professeur Finocchiaro chargé d’adapter la législation italienne sur les données personnelles au règlement de l’UE 679/2016.

RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL  du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
 https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=IT