Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...

Nous sommes au Moyen-Age du numérique

À l’occasion des Assises de la Sécurité, rendez-vous annuel des experts de la cybersécurité qui s’est tenu du 9 au 12 octobre à Monaco, nous avons rencontré Matthieu Bourgeois, avocat au Barreau de Paris depuis 2004, spécialiste du droit du numérique et cofondateur du think-tank « Le Cercle de la Donnée ».

Reconnaissance faciale, empreinte digitale, empreinte rétinienne… Et si les données biométriques n’étaient pas seulement effrayantes, comme certaines oeuvres de science-fiction le suggèrent, mais pouvaient aussi être utiles, voire servir de nobles causes ? C’est le pari de Matthieu Bourgeois, avocat au Barreau de Paris depuis 2004 et spécialiste du droit du numérique. Membre du cabinet KGA Avocats et fondateur du « Cercle de la Donnée », think-tank s’intéressant aux usages « éthiques » de la donnée et à leur transmission aux générations futures, celui-ci plaide pour un débat « rationnel » sur l’usage des données — biométriques, mais pas seulement — dans l’espace public. Comment éviter les risques de dérives ? En quoi les données sont-elles un « bien public » ? Et comment organiser par l'Etat l’encadrement de cette technologie ? À l’occasion des Assises de la Sécurité, rendez-vous annuel des experts de la cybersécurité qui s’est tenu du 9 au 12 octobre à Monaco, nous avons posé quelques questions à celui qui se définit comme un « vigilant actif » en matière de numérique.

Matthieu Bourgeois, avocat et spécialiste du droit du numérique. © Matthieu Bourgeois.

Usbek & Rica : Durant la conférence sur les données biométriques à laquelle vous avez participé, vous avez parlé d’un sujet « complexe », mais sur lequel la réflexion éthique n’est pas encore vraiment « engagée ». Que voulez-vous dire par là ?

Matthieu Bourgeois : Pour moi, la biométrie est inévitable. Pourquoi ? Parce qu’avec 9 milliards et peut-être 12 milliards d’êtres humains sur Terre (d'ici 2100, selon certaines projections, ndlr), on ne pourra plus s'administrer qu'au travers de moyens manuels ; il faudra l'aide des machines. Celles-ci nous aideront à gérer les « communs » que le défi écologique actuel nous appelle à appréhender d'urgence.

C’est d’ailleurs pour cela que le numérique fait sa « révolution » en ce moment : parce qu’on le veut, en partie, mais surtout parce qu’on en a besoin. A condition toutefois de rester dans des usages utiles et répondant à des besoins réels et essentiels. A l’heure actuelle, on s’administre essentiellement à travers des numéros et des mots de passe à plusieurs chiffres avec des caractères spéciaux… C’est tout simplement invivable. D’ailleurs personnellement, je ne souhaite pas être désigné par seulement un numéro ! Je veux que le monde artificiel me reconnaisse, surtout si je dois y aller très fréquemment chaque jour. Ne serait-ce que d’un point de vue pratique, le recours à des données biométriques est inévitable, car utile dans certains cas. Et je pense que c’est plutôt une bonne chose, en tout cas en termes d’ergonomie et de facilitation.

Scanner d'identification par empreinte digitale au Brésil, en 2009. CC Rachmaninoff / Wikimédia.

Je ne vais pas gloser ici sur les risques, car ils sont déjà ultra-médiatisés et bien réels. En cas d’usurpation d’identité, évidemment, on ne peut pas se défaire de son identité biométrique : cela pose donc des problèmes très graves. Mais vous savez, dans le monde d’avant aussi, au XIXème siècle par exemple, on pouvait falsifier des papiers d’identité. Des gens faisaient leur commerce sur la vente de faux papiers. C’était légion, et pourtant cela ne nous a pas empêché de continuer à utiliser des papiers d’identité. Donc il y a des risques dans le monde numérique, mais il y en avait aussi des tas dans le monde « d’avant » le numérique.

Sur le sujet de la biométrie, j’observe une certaine irrationalité collective. Les risques sont inévitables, mais dans son ensemble la biométrie tend plutôt vers le progrès… et peut parfois être source de bénéfices insoupçonnés ! C’est ce que démontre, par exemple, une start-up française qui propose un service de diffusion sélectif et sécurisé d’images. Depuis 100 ans, on est pris en photo dans les zones de loisirs, la plupart du temps avec notre consentement. Au début du XXème siècle, les centres de loisirs étaient réservés à un très petit nombre, donc on allait chercher sa photo soi-même : le photographe regardait les photos, sélectionnait celle qui vous correspondait et vous la donnait. Mais nous sommes aujourd’hui dans une situation de tourisme de masse ; il faudrait patienter dans une interminable file d'attente pour obtenir sa photo de la même façon. Or, comme il ne peut pas le faire, le photographe fait, à l’heure actuelle, ce qu’il y a de pire : il met les photos de milliers de gens sur une console publique, accessible à tout le monde dans le parc, voire, pire, sur un site web non-sécurisé. Pour lutter contre ces problèmes, la biométrie pourrait être un excellent outil : vous allez dans un parc, vous vous enregistrez sur une application, et on vous envoie votre propre photo si vous le souhaitez — et sinon, les clichés sont automatiquement mis de côté puis instantanément détruits. Pour résumer, il faut dédiaboliser la biométrie : elle n’est fondamentalement ni bonne ni mauvaise. Tout dépend de la fin à laquelle on s’en sert.

Comment expliquez-vous cette « irrationalité collective » ? Les données biométriques touchent à l’intime, à des parties du corps que l’on n’a pas forcément envie « d’exploiter » spontanément…

Vous avez raison, il y a des données biométriques comme le réseau veineux de la main, l’iris ou le battement de coeur, qui sont des données de santé. On tombe ici dans des craintes qui sont légitimes. C’est pour cela qu’il faut proscrire autant que faire se peut la biométrie qui concerne des données médicales — sauf pour un usage évidemment médical ou d'intérêt général. Cette irrationalité s’explique donc notamment par le fait que certaines techniques biométriques utilisent des données de santé, ou des données qui peuvent révéler des origines, raciales ou ethniques par exemple.

Ensuite, il y a bien sûr des pays totalitaires qui font peur, notamment dans leur rapport à la biométrie. Mais là encore, le régime nazi faisait des cartes d’identité : a-t-on arrêté les cartes d’identité pour autant ? En réalité, on surcommunique sur des abus ou des cas d’usage totalitaires.

Par ailleurs, on tombe en ce moment dans un nouvel obscurantisme, un nouveau « Moyen-Age numérique ». On avait réussi à sortir de l’obscurantisme avec les Lumières, mais aujourd’hui on est comme « retombés » dedans : le numérique n’est pas enseigné à l’école, il ne rentre pas dans notre culture et reste donc l’apanage des experts et des vendeurs de technologie. Or ces vendeurs-là ont tout intérêt à diffuser de « l’infomercial » plutôt que de l’information. Ils jouent sur les peurs et les envies, sur les bas instincts de l’homme, par conséquent on perd de vue l'essentiel et on finit par ne plus comprendre grand chose au numérique. Nous avons besoin d’une démarche intellectuelle d’éclairage et, de cette façon, les citoyens auront moins peur de la technologie et de la biométrie. On a l’impression que ce sont encore des gros mots dans notre société ! Le numérique est craint parce qu’on ne le connaît pas assez.

Comment faire en sorte, dans ce cas, de rendre le numérique moins angoissant qu'il ne l'est à l'heure actuelle ?

Au cours d’une discussion que j’ai eue avec Guillaume Poupard, directeur général de l’ANSSI, il a eu cette phrase, à laquelle je souscris pleinement : « Comment casser l’idée communément admise et faussement intuitive que la donnée doit être amenée et transmise à ceux qui en ont besoin ? Pourquoi les intelligences artificielles ne se déplaceraient-elles pas ? Pourquoi ne fonctionnerait-on pas avec des accès permissionnés ? »

Je m’explique. On pourrait très bien imaginer un monde dans lequel certaines données seraient considérées comme des données « essentielles », gardées par des organismes soit publics, soit privés sous contrôle public. Les données biométriques, les miennes, les vôtres, seraient gardées par ces tiers de confiance. Quelqu’un qui aurait besoin d’accéder à une partie de ces données pourrait le faire, mais à condition de passer par les fourches caudines de cet organisme, via un mécanisme d’accès permissionné. De cette façon, les données seraient gardées par ces organismes vigiles et leur accès ne serait ouvert à des opérateurs du marché que de manière sécurisée et contextualisée.

Personnellement, je suis partisan d’une professionnalisation de la donnée, et donc d’une raréfaction de la prolifération de la donnée. Certaines données ne doivent plus circuler comme elles le font parce que cela représente un danger systémique, explosif. Je suis en faveur d’une réappropriation étatique, ou sous contrôle étatique, de certaines données, obligeant le secteur privé à demander une autorisation d’accès provisoire à certaines données avant d’y accéder. Je vais encore faire une comparaison historique : on a créé les banques au XIXème siècle pour éviter les escroqueries, car on voyait bien que les paiements en « monnaie de singe » se développaient. Ce système n’était plus tenable, donc on a « bancarisé » la France et le monde occidental. Aujourd’hui, on devrait de la même façon « professionnaliser » et « structurer » l’écosystème numérique occidental et mondial. Les données sensibles comme les données biométriques, bancaires ou médicale, par exemple, sont des données d'importance fondamentale. Il faut les placer sous contrôle d’intermédiaires de confiance.

C’est effectivement une idée audacieuse, mais qui ne semble pas vraiment répandue pour l’instant… Vous êtes optimiste quant à son application ?

Je ne suis pas fondamentalement optimiste, mais je suis résolument positif, c’est-à-dire que je n’accepte pas la fatalité ! En fait, la grande tendance depuis vingt ans, c’est de dire qu’il faut « déréguler », « laisser faire ». On baigne dans cette illusion que le web se régule tout seul. C’est absolument faux. D’ailleurs le régulateur, malheureusement, ce n’est plus tellement l’Etat mais le code. « Code is law », prophétisait d’ailleurs un célèbre professeur d’Harvard en 2000, Lawrence Lessig. Il avait raison lorsqu'il disait que, lorsque l’Etat ou l’espace public se retire, le vide ne reste pas vide bien longtemps. Aujourd’hui, ce sont les plateformes supranationales qui supplantent les Etats nations. Or, comme beaucoup, je refuse que mes données soient la propriété de plateformes privées, aux intérêts privés et capitalistes. Les données sont des « communs », elles n’ont pas à être la propriété d'opérateurs privés.

Image d'illustration d'une technologie de reconnaissance faciale. Crédits : Jimmy answering questions Wikimania2009 Beatrice / Sylenius (talk) - Wikimédia (CC).

C’est effectivement une idée à contre-courant, mais je suis confiant parce que je sens une prise de conscience sur le sujet. L’ANSSI, notamment, prend en compte toutes ces questions. Je fais moi-même partie de l’Agora 41, un groupe de réflexion stratégique avec des membres de toutes tendances politiques, et dont la plupart converge vers le fait de dire qu’il faut une reconquête de l'Etat dans le numérique. La France numérique d’aujourd’hui me fait penser à la France de Charles VII à son début de règne : le roi de France était maître de la Bourgogne et de quelques territoires morcelés, mais c’était tout. Le reste, c’est « seigneur Google », « seigneur Amazon », « seigneur Facebook », etc. Ce système n’est pas tenable, il est catastrophique.

Plus généralement, comment faire pour remédier au manque de culture sur le numérique que vous dénoncez ? Faudrait-il mettre en place des cours sur le sujet, dès l’école primaire ?

Je souscris à l’idée de cours sur le numérique à l’école primaire — le problème, évidemment, est qu’il va falloir trouver des contenus à retirer, sauf à accroître le volume des cours en ce qui est difficilement envisageable. Mais il est certain qu’il faut enseigner davantage le numérique, pour expliquer qu’il s’agit non pas d’une question « d’informatique » mais « d’information ». Il faudrait expliquer ce qu’est une information, ce qu’est une donnée… Ensuite, il faut apprendre le fonctionnement d’une IA. Sans être un probabiliste ni un expert en dérivé mathématique, j’ai moi-même à peu près compris, grâce aux échanges que nous avons eu au Cercle de la Donnée avec le chercheur Yann Le Cun, comment fonctionne l’algorithme d’apprentissage profond. Depuis cette courte formation, je comprends à peu près la logique de ce système, et je ne me fais plus influencer comme c'était le cas il y a encore six mois par des gens qui m’expliquaient que l’apprentissage profond était un « miracle » sans en expliquer les limites.

Il faut expliquer le fonctionnement de toutes ces choses-là dès l’école primaire, et peut-être même créer une Ecole Nationale du Numérique. Il nous faut une élite numérique, composée de gens mus par l’intérêt général et pas uniquement par les profits court-termistes ; mus par l’envie que le numérique soit au service de l’homme et pas l’inverse. Sciences Po a été créé en 1872 dans l’objectif de donner aux cadres les clés de compréhension de la « grande politique » et former de nouvelles élites en leur transmettant les savoirs modernes de l'époque. Aujourd’hui, en 2019, il est essentiel que les cadres des élites françaises aient les clés de compréhension du numérique.

Source : https://usbeketrica.com