Marc Mossé, Microsoft : « La société sécuritaire et marketing absolue n’est pas inéluctable » share
back to to

Marc Mossé, Microsoft : "La société sécuritaire et marketing absolue n’est pas inéluctable"

10 décembre 2014

Un an après Snowden, qu’avons-nous fait de la protection des données personnelles ? En cette période de concertation sur la loi numérique, quand la régulation des algorithmes jouant avec notre vie privée intéresse jusqu’au Conseil d’Etat et quand les CNIL européennes, réunies pour un European Data Governance Forum à l’UNESCO proposent une ambitieuse déclaration commune, le sujet des droits fondamentaux et du numérique est toujours d’actualité.

Marc Mossé, le directeur Affaires Juridiques et Affaires Publiques de Microsoft France est signataire de la Déclaration des droits numériques du Forum d’Avignon et membre du groupe de travail créé par le Conseil d’Etat pour l’élaboration de son Rapport annuel sur « Numérique et droits fondamentaux ». Il nous explique pourquoi l’irruption de la donnée personnelle dans l’économie doit engager les Etats à revoir nos modèles de protection de la vie privée, et engage les entreprises à penser leurs modèles d’affaires en investissant dans une “innovation responsable ».

RSLN : Commençons par la promesse. Où nous emmènent aujourd’hui le Big data et le Machine Learning ?

Marc Mossé : Le Big data optimise la gestion des données et ouvre vers de nouveaux usages et de la croissance économique. Le Machine Learning en est une mise en œuvre, via la capacité qu’on donne à une machine d’ingérer des données, à apprendre et de s’enrichir de son expérience, c’est-à-dire d’être capable de récupérer d’autres données utiles et d’apprendre à nouveau. Prenez Skype Translator qui permet le dialogue instantané entre personnes qui ne parlent pas la même langue : c’est une promesse de nouvelles sociabilités, d’un nouveau rapport à l’altérité ; ou bien notre Cortana, un assistant personnel révolutionnaire, qui se nourrit de data pour nous épauler dans le quotidien et faciliter notre vie. 

La data augmente l’intelligence de ces outils et leurs fonctionnalités, mais offre aussi de nombreux leviers de transformation. En témoigne par exemple, cette expérience conduite par Microsoft Research à partir de données sur 25 000 lits d’hôpitaux afin de déterminer précisément les « parcours » des infections nosocomiales et donc réduire les risques en modifiant la disposition des services et des patients. Dans l’éducation, mais aussi dans la santé ou les services urbains, Big data et Machine Learning sont ainsi des accélérateurs d’innovation démocratique, économique et sociale.

De la PME aux grandes entreprises en passant par les services publics et chacun d’entre nous, ces innovations sont synonymes de nouvelles opportunités. Selon le cabinet Transparency Market Research, le chiffre d’affaires du marché du Big Data devrait atteindre cette année 8,9 milliards de dollars. Il devrait connaître une croissance annuelle proche des 40% dans les prochaines années pour atteindre en 2016 près de 24,6 milliards de dollars de chiffre d’affaires. Adossées aux capacités du Cloud computing, ce sont là des chances pour l’industrie et la compétitivité de nos PME et entreprises du CAC 40. 

Le récent rapport de Mc Kinsey montre que si le numérique pèse déjà un poids substantiel dans l’économie française, on observe un décalage entre une adoption avancée chez les particuliers et un basculement qui tarde à se réaliser pour les entreprises. Le potentiel de valeur en jeu est pourtant majeur : la France pourrait accroître la part du numérique dans son PIB de 100 milliards d’euros à l’horizon 2020, à condition de mettre en place un écosystème permettant aux entreprises d’accélérer leur mutation numérique. Le Cloud pris dans ses différentes dimensions, dont le Big data, en est un des éléments clés. C’est là un gisement de croissance et de transformation positive de l’économie.

Pourtant certains redoutent que cette économie de la data sonne la fin de la vie privée. Quelles sont les menaces, et quelles sont les attentes des citoyens à ce sujet aujourd’hui ?

M.M : La confiance exige transparence. Pour que les promesses du Cloud, du Big data, du Machine Learning, objets connectés,… soient pleinement tenues, il faut renforcer la confiance. Celle-ci passe par la transparence des règles et des pratiques. Les révélations d’Edward Snowden auront rendu visible ce que beaucoup ne voulaient pas voir, faisant comme un écho numérique à ce que Jeremy Bentham signalait à propos du Panoptique et de la société de surveillance : « les inspecteurs sont cachés de la vue des détenus ; d’où un sentiment d’une sorte d’omniprésence invisible ». 

Il y a quelques années, lorsque j’évoquais l’importance de la protection des données personnelles et de la vie privée, l’écoute était polie mais le sentiment de l’urgence démocratique n’était pas toujours là. Avec ces révélations, l’éléphant est au milieu du magasin de porcelaine. Et c’est tant mieux, car plus personne ne peut feindre l’ignorance. Les travaux du Conseil National du Numérique et la consultation publique en cours, les travaux de la Commission de l’Assemblée Nationale en sont des témoignages.

L’enjeu n’est d’ailleurs pas seulement à l’égard des Etats. Le Léviathan a de multiples visages. Certaines entités privées détiennent autant de données personnelles que des gouvernements et elles ne sont pas plus fondées qu’eux à les exploiter de façon déraisonnable. L’impérieuse soumission des gouvernements aux contrôles démocratiques doit se retrouver également vis-à-vis des entreprises. D’autant que certains groupes tentent d’opposer artificiellement vie privée et liberté d’expression pour servir des modèles économiques exclusivement basés sur la monétisation des données. 

Non, la vie privée n’est pas une anomalie de l’histoire. Nombre de jeunes la considèrent toujours comme importante, et certains adoptent des stratégies personnelles pour définir ce qui est protégeable et ce qui est partageable. C’est pourquoi il faut mettre un accent particulier sur l’éducation et la compréhension des enjeux. Et éviter que ne se creuse une fracture sociale entre ceux qui savent et ceux qui ignorent la portée réelle d’un clic. Il s’agit d’un enjeu de civilisation. Nous ne devons pas laisser la technique l’emporter sur le politique et décider à notre place du sens à donner au vivre ensemble. 

Dans le nouveau monde digital, les datas circuleront, seront agrégées, produiront elles-mêmes de nouvelles datas pour offrir de nouveaux usages. Le défi est immense pour permettre ces échanges dans le respect de nos principes de droit. Notre modèle de privacy doit s’adapter non pour être moins protecteur, mais bien au contraire, pour être plus efficace au regard de la réalité d’une société de flux et non plus seulement de stocks. Oui, une nouvelle génération de droits est nécessaire pour garantir à l’utilisateur pourquoi et comment ses données sont utilisées. Une telle approche, pragmatique et focalisée sur les usages pourrait d’une certaine façon rendre possible l’existence d’un « droit à l’autodétermination informationnelle » proposé par le Conseil d’Etat, et dont l’ancrage constitutionnel serait sans doute fondateur.
 


Pensez-vous que la régulation puisse se faire au niveau des Etats ? Ou sinon, où se situe le débat ?

M.M : La société sécuritaire et de la trace absolutiste n’est pas inéluctable. Le projet de règlement de l’Union européenne est une bonne chose, dès lors qu’il permet d’harmoniser le droit applicable entre les 28 Etats Membres de l’UE. Quand il sera adopté, le développement d’un marché unique du Cloud et de l’innovation numérique sera facilité tout en garantissant des standards élevés de protection des données personnelles, qu’il s’agisse de la collecte ou de leur traitement. Dans une économie de la data, l’enjeu de la garantie des droits se situe, en particulier, au stade de l’usage des données collectée. Par ailleurs, rien n’interdit d’imaginer qu’une convention internationale devienne une perspective utile pour fixer les questions transnationales comme l’ont proposé récemment trois sénateurs américains, et le projet de Déclaration universelle proposé récemment par le Forum d’Avignon constitue un signe fort à cet égard. Il faut que la protection des données soit clairement affichée comme une part forte du patrimoine constitutionnel mondial. Le débat judiciaire autour de l’affaire du juge de New York dans laquelle nous nous opposons à la demande d’accès de données en Europe par le gouvernement des Etats-Unis est une opportunité de faire avancer cette universalité de ces droits fondamentaux.

Bien sûr, la loi nationale demeure un outil utile pour protéger les libertés et droits fondamentaux menacés par les conséquences de l’usage indu de ces données et la CNIL a montré sa volonté d’agir. L’important rapport du Conseil d’Etat du 9 septembre dernier montre bien qu’existent des articulations entre droit international, droit européen, droit national et droit souple. Jouer sur les leviers de la régulation, la co-régulation et l’autorégulation facilite l’adaptation des règles à la rapidité des évolutions technologiques et des usages. Le pont aux ânes de la prétendue impossibilité de réguler les déviances existantes ou potentielles de certains acteurs, est dangereux pour les promesses d’un Internet libre et ouvert. 

Et quel peut être le rôle des entreprises ?

M.M : C’est le temps de l’innovation numérique responsable. Ni dictature de la précaution, ni « loup ravi de la crèche numérique », il faut inscrire les considérations éthiques et de garantie des droits fondamentaux dans les processus de l’innovation elle-même. La privacy by design en est une illustration concrète et renforce la logique de responsabilité, d’accountability. Dès 2002 Bill Gates avait envoyé un mail à l’ensemble des salariés de Microsoft pour placer l’informatique de confiance au cœur des choix industriels de l’entreprise. Lorsque nous avons été les premiers à intégrer les clauses contractuelles types de l’Union Européenne dans nos contrats de Cloud pour les entreprises en leur garantissant un droit d’audit précis, et de mettre en œuvre des normes ISO 27001 et 27018 pour les processus de sécurité et protection des données, lorsque nous avons fait le choix d’installer nos data center en Europe, lorsque nous nous refusons – à la différence d’autres – de scruter les contenus des mails des utilisateurs de nos services, lorsque nous réduisons à la demande des CNIL européennes à 6 mois la durée de conservation des adresses IP des logs de connexion sur notre moteur Bing, … nous concrétisons cet engagement.

Le privacy paradox conduisant chacun à vouloir profiter de services innovants tout ayant la meilleure protection de ses droits est de plus en plus vrai. Et les entreprises peuvent choisir d’y répondre, ou non… Clairement, la différence entre les business model traduit déjà l’existence ou non du privacy care dans leur stratégie.

Assistons-nous à une convergence des régulations entre les Etats-Unis, l’Europe et la France ?

M.M : La tentation protectionniste existe en France, mais la « Zemmourisation du Cloud » est une impasse. Bien sûr des divergences existent entre les Etats. Les traditions juridiques sont parfois différentes. Pourtant, il serait dommage d’ignorer que les choses bougent et que la protection des droits fondamentaux est aussi à l’agenda des Etats-Unis avec une forte mobilisation de la société civile. Des rapports de forces nouveaux apparaissent et des alliances se nouent. Il faut développer une véritable logique de check and balance, et construire collectivement une réponse transnationale fondée sur des hauts standards de protection des données. L’Europe peut jouer ici un rôle moteur dans la définition de ce nouvel équilibre. Comme nous le faisons en ce moment, en contestant devant les tribunaux américains un mandat autorisant dans une affaire particulière l’accès aux autorités de police à des données stockées en Europe : notre action pour le respect des lois internationales et des principes constitutionnels est désormais soutenue par plus de 50 organisations de défense des libertés et du monde économique qui, via des Amici Curiae ont soumis leurs arguments à la Cour d’Appel. Le droit constitutionnel des Etats-Unis garantit le respect du droit international en ce qu’il s’oppose à cette logique extraterritoriale, alors même qu’existent des traités de coopération judiciaire.

Il faut, par ailleurs, noter que le 4ème amendement de la Constitution des Etats-Unis protège le domicile physique, et nous pensons qu’il doit également garantir notre univers privé virtuel. Dans une importante décision de juin 2014, Riley versus Californie, la Cour Suprême en se prononçant sur la protection constitutionnelle du contenu d’un smartphone saisi, a relevé le fait qu’une partie de nos données se trouve dans le nuage. Il s’agit d’un débat qui doit être porté devant les citoyens et ne pas rester entre « les professionnels de la profession » pour paraphraser Godard. Nul ne peut ignorer que la vraie souveraineté numérique passe par l’empowerment de citoyens éclairés.

Chaque semaine,
recevez les immanquables
par email