Le miroir aux alouettes de la revente des données personnelles

La semaine dernière, une étude a été publiée par Havas Media concernant les rapports qu’entretiennent les Français avec leurs données personnelles. Si de manière assez attendue, 84% se déclarent inquiets des usages qui peuvent être faits de leurs données, l’enquête révèle aussi des tendances beaucoup plus opportunistes. 45% des Français seraient prêt à laisser les entreprises réutiliser leurs données, à condition de toucher une contrepartie financière et pour 500 euros, 30% d’entre eux se disent même disposés à leur ouvrir un large accès…

texture_stock_bokeh_gold_9_by_redwolf518stock
On voudrait nous faire croire que nos données valent de l’or, mais cette promesse nébuleuse pourrait s’avérer bien décevante… [Image par redstock516stock, CC-BY, source : deviantArt]

Ces chiffres font écho à des thèses dont j’ai déjà eu l’occasion de parler dans S.I.Lex, à propos de la tendance à la « patrimonialisation des données personnelles« . Puisque les données personnelles font déjà l’objet d’une très large exploitation commerciale par les plateformes sur Internet, certains estiment qu’il serait plus juste d’entériner cet état de fait en créant un droit de propriété au bénéfice des individus, afin qu’ils puissent les commercialiser et en tirer un revenu. Cette approche n’est pour l’instant pas celle de la réglementation française et européenne, reposant sur une conception « personnaliste », considérant les données personnelles comme un prolongement de la personne humaine et les protégeant à ce titre.

Mais aux États-Unis, la marchandisation volontaire des données personnelles est déjà une réalité, assurée notamment par le biais d’intermédiaires agissant comme des « courtiers » et proposant aux individus de « reprendre le contrôle sur leurs données » ou d’en « redevenir propriétaires » en les portant sur une place de marché destinée aux annonceurs. On connaissait déjà des sociétés comme Yes Profile ou Reputation.com,  agissant sur ce créneau, mais la semaine dernière Datacoup, une startup newyorkaise, a fait l’objet de plusieurs articles sur les sites d’information français à l’occasion de son lancement officiel.

Souhaitant voir concrètement comment se passait cette mise en marché des données, j’ai ouvert un profil pour tester le service proposé par Datacoup. L’expérience s’est avérée étrange, mais très instructive, et elle me conforte dans l’idée que cette proposition de revente de leurs données personnelles par les individus constitue un véritable miroir aux alouettes, potentiellement dangereux, mais qui risque de s’avérer très attractif s’il venait à se déployer. 

Unlock the value of your personal data… 

La phrase ci-dessus constitue le slogan de l’entreprise Datacoup et la promesse qu’elle fait à ses usagers en leur proposant un service « Simple, Sensitive and Fair« . Il est vrai que se créer un profil via l’interface de la plateforme se fait en quelques clics, comme sur n’importe quel réseau social. Une fois inscrit, le nouveau venu est dirigé vers un tableau de bord, sur lequel on lui propose, toujours très simplement, de connecter à son compte Datacoup différents profils de services en ligne, comme Facebook, Twitter, Google +, LinkedIn, etc (voir ci-dessous).

datacoup

A titre de test, j’ai connecté mon compte Twitter et l’interface m’a immédiatement indiqué que celui-ci « valait » 15 centimes de dollars par mois. On m’explique qu’il s’agit d’une évaluation et que ce type de données personnelles a une valeur « moyenne », comparée à d’autres informations comme les données bancaires liées à ma carte de crédit (nous y reviendrons, car Datacoup s’intéresse visiblement beaucoup à ces dernières…). Une fois confiée à Datacoup, les données de mon compte Twitter sont transférées sur un »marché » où des acheteurs (« Data Purchasers ») vont pouvoir faire des offres pour les acquérir (voir ci-dessous).

datacoup2

Propriété contre droit d’usage

C’est là que l’on sent vraiment la différence d’approche juridique concernant les données personnelles entre les États-Unis et l’Europe. Cette plateforme Datacoup indique explicitement que les données vont être « vendues » à des compagnies tierces. Voici par exemple ce que l’on peut lire dans la FAQ du site (je traduis) :

Est-ce que mes données personnelles seront vendues à des tiers ?

Oui. En fait, seulement si vous nous demandez de le faire. C’est pour cette raison que notre plateforme existe ! Nous sommes une plateforme qui permet à des individus comme vous de vendre en toute sécurité leurs données à quiconque leur paraît convenir, dans le but de tirer bénéfice de la valeur des données qu’ils créent tous les jours.

Nous ne vendrons JAMAIS des données personnelles à caractère identifiant sans que vous ne nous disiez explicitement de le faire.

A l’heure actuelle, l’emploi même du mot « vente de données » n’est pas envisageable dans le cadre du droit européen. Comme l’explique la juriste Cédrine Morlière sur le site Actualitté, les plateformes ne disposent en effet dans ce cadre juridique que d’un droit d’usage et pas d’un droit de propriété :

[…] notons que l’usager conserve le droit, à tout moment, d’exiger que s’interrompe la collecte et le traitement de ses données à des fins de suggestion commerciales. L’exploitation des données qui ont été collectées précédemment doit alors s’interrompre à ce moment également. En effet, l’internaute reste bel et bien titulaire du droit fondamental de contrôler ses données personnelles, même s’il en a accordé l’usage à l’exploitant du site. Ce dernier n’en est pas le propriétaire, mais bien l’utilisateur sous conditions.

Néanmoins, quelques jours après avoir ouvert mon compte sur Datacoup, je reçois un mail du service m’informant que quelqu’un a acheté mes données. Intrigué, je clique sur l’email de notification et j’apprends que cet acheteur n’est autre que… la société Datacoup elle-même, qui m’accorde 0, 155$ pour l’accès aux données de mon compte Twitter pendant une semaine ! Si je me connecte via Paypall, cette somme me sera versée le 30 du mois.

datacoup3

Notez qu’à ce stade, je ne sais pas encore exactement à quelle données Datacoup peut avoir accès via mon compte Twitter (les paramètres de Twitter m’indiquent seulement que j’ai accordé des droits à Datacoup « en lecture seule »). La plateforme cherche néanmoins immédiatement à m’encourager à aller plus loin en  lui confiant mes données bancaires, ainsi qu’à envoyer à des marques connues comme Coca-Cola un lien vers mon profil pour les inciter à acheter elles-aussi mes données…

datacoup4

En route pour la marchandisation de soi… 

Ce petit tour d’horizon corrobore à mon sens toutes les inquiétudes que l’on pouvait avoir concernant l’approche « patrimoniale » des données personnelles. Les services comme Datacoup avancent qu’ils vont permettre aux individus de « reconquérir leurs propres données » et d’en « retrouver la propriété ». Mais il me semble au contraire que cette rhétorique sert surtout ici à faire en sorte que l’individu participe activement à sa propre exploitation et au transfert de ses droits au profit de tiers. Rien n’est fait sur la plateforme pour expliquer clairement les usages des données qui seront faits par les entreprises à qui elles seront revendues. La société Datacoup assure elle-même le premier achat, histoire sans doute de convaincre l’utilisateur qu’il « vaut quelque chose ». Et une fois cette petite flatterie narcissique effectuée, nous sommes directement incités à aller beaucoup plus loin que les informations de nos profils sur les réseaux sociaux, en livrant les données bancaires liées à nos cartes de crédit…

datacoup5
Image par Katiemarinascott. CC-BY-NC-ND. Source : Flickr.

On peut dès lors comprendre que le Conseil d’Etat, dans son récent rapport consacré aux libertés fondamentales et au numérique, ait sévèrement critiqué et appelé à rejeter cette approche patrimoniale visant à créer un droit de propriété individuel sur les données personnelles. Il estime notamment que :

Le rééquilibrage de la relation entre les éditeurs de services numériques et les internautes, qui découlerait de la reconnaissance d’un tel droit de propriété, apparaît largement illusoire. Sauf pour des personnalités d’une particulière richesse ou notoriété, la valeur des données d’un seul individu est très limitée, de l’ordre de quelques centimes ou dizaines de centimes […] Le rapport de force entre l’individu, consommateur isolé et l’entreprise, resterait marqué par un déséquilibre structurel.

Un service comme Datacoup montre que le Conseil d’État ne s’est pas trompé dans son appréciation. Avant Le Conseil d’État, le Conseil National du Numérique avait également marqué ses réserves à l’encontre de cette idée de « propriété des données personnelles ». Il avait insisté notamment sur le déséquilibre que l’approche « patrimonialiste » pourrait créer entre les citoyens :

[…] elle déboucherait à un renforcement des inégalités entre citoyens en capacité de gérer, protéger et monétiser leurs données et ceux qui, par manque de littératie, de temps, d’argent ou autre, abandonneraient ces fonctions au marché.

La facilité déconcertante avec laquelle on peut livrer ses données à une place de marché sur Datacoup peut faire craindre en effet que beaucoup d’individus se laissent prendre à ce jeu, sans se rendre complètement compte de ce qu’ils font. Pire, le fait qu’un prix soit immédiatement donné aux informations personnelles ne peut que renforcer le consentement à « se vendre » et les choses seraient sans doute encore pire si l’on pouvait se comparer à d’autres sur un service comme Datacoup. On connaît déjà les phénomènes de « narcissisme numérique », comme le Quantified Self, qui révèle le goût que peuvent avoir les individus pour la mesure d’eux-mêmes.

Or qu’il y a-t-il de plus efficace qu’un prix pour mesurer la valeur d’une chose et la comparer avec d’autres ? Nul doute que beaucoup individus, avides qu’on les « apprécient », trouveront psychologiquement un bénéfice à ce qu’on leur donne un prix. Par ailleurs, il est significatif que Datacoup cherche à « enrôler » ses utilisateurs pour qu’il fasse la promotion de leurs propres données auprès de grandes marques. On connaissait déjà avec le phénomène des « Attention Whores » des déparages sur les réseaux sociaux vers le « tapinage attentionnel », en vue de récolter quelques likes de plus. La marchandisation volontaire des données personnelles ferait sans doute apparaître des « Data Whores », individus embarqués dans ce qu’il faut bien appeler de la « prostitution de données » au mépris de leur vie privée.

***

Ce que je trouve le plus effrayant dans ce miroir aux alouettes de la revente des données personnelles, c’est l’efficacité du design que peut proposer une plateforme comme Datacoup. Au-delà de la simplicité d’usage, le dispositif joue sur des mots comme « vente », « acheteur », « marché » « prix », afin de réorienter notre mode d’appréhension de nos propres données. Ce « design de l’auto-marchandisation » me paraît beaucoup plus simple à mettre en place que le Privacy By Design qui permettrait au contraire d’intégrer directement dans l’ergonomie des services en ligne le souci de la protection des données personnelles. Les difficultés rencontrées par un projet comme Diaspora* par exemple, attestent qu’il est plus compliqué de mettre en place une infrastructure viable à partir de l’idée de protéger les données plutôt que de les marchandiser. On verra si un projet comme Ello, ce nouveau réseau social assurant ne pas vouloir exploiter les données personnelles, peut renverser la tendance, mais il semble assez mal parti. L’attractivité des « courtiers de données »‘ risque d’être plus forte…

ST_Ello_600

Mais plus encore, on réalise en essayant un service comme Datacoup que finalement l’approche « patrimonialiste » n’a même pas vraiment besoin d’une consécration juridique pour commencer à exister et à produire des effets. Même si la notion de propriété sur les données personnelles n’est pas reconnue par notre droit, il suffirait que ce type de plateformes fassent l’objet d’un engouement pour que ce paradigme disruptif prenne pied. A l’inverse, une approche comme celle dont j’ai déjà essayé de parler sur S.I.Lex, considérant les données personnelles comme des biens communs, doit encore trouver les formes juridiques, techniques et institutionnelles qui permettraient de l’incarner. Il devient urgent d’y travailler…

[Mise à jour du 01/10/2014] : une étude Orange indique que les internautes estiment en moyenne la valeur de leurs données personnelles entre 170 et 240 euros. Sachant qu’une autre étude avait montré que pour disposer d’un Internet entièrement sans publicité, il faudrait débourser environ 170 euros par an…

[Mise à jour du 09/10/2014] : RTS diffuse un reportage assez effrayant à propos d’un happening organisé par une artiste contemporaine :

Combien valent nos données personnelles? A peine le prix d’un cookie, à en croire l’expérience menée le week-end dernier par une jeune artiste new-yorkaise. Lisa Puno a proposé aux visiteurs du « Dumbo arts festival » de leur offrir des biscuits qu’elle avait elle-même cuisinés en échange de certaines de leurs informations privées. 380 d’entre eux ont accepté en lui livrant parfois les quatre derniers chiffres de leurs cartes de sécurité sociale ou leurs empreintes digitales.

15 réflexions sur “Le miroir aux alouettes de la revente des données personnelles

  1. Ping : Le miroir aux alouettes de la revente des données personnelles | :: S.I.Lex :: | AWBC blog

  2. Je trouve très l’approche très intéressante. Bien qu’a titre personnelle j’avance plutôt dans l’idée qu’il est question de vendre son identité et ces empreintes numériques. Manque de chance, il est encore très difficile de faire comprendre à la classe politique l’enjeu de faire reconnaître comme faisant partie de l’identité personnelle les données personnelles identifiables ou sensible.

    Pour ma part, j’ai du mal à faire entendre à Madame Michu que transmettre contre rémunération, les données privées de navigation, identification ou données de profilage peut-être considéré comme de la prostitution. C’est de l’ordre du capitalisme libérale sauvage, qui ne mesure pas les conséquences possibles. Une fois que l’identité est vendue, à qui nous sommes ? Qu’est ce que nous sommes ?

    J’ai encore un peu de mal à faire mes arguments et à réellement appréhender les enjeux sociétaux de cette évolution. Le sujet étant particulièrement intéressant, je tente de mesurer chaque action et propos. Cela dit, j’entraperçois les conséquences et les dérives, sans franchement mettre la main dessus.

  3. Nanarf

    « littératie » qu’elle horreur, si compréhension ne convient pas au Conseil National du Numérique qu’il dise bêtise.

  4. Dayk

    Wikipedia : Selon l’Organisation de coopération et de développement économiques (OCDE), la littératie est « l’aptitude à comprendre et à utiliser l’information écrite dans la vie courante, à la maison, au travail et dans la collectivité en vue d’atteindre des buts personnels et d’étendre ses connaissances et ses capacités. » (dans le rapport publié le 14 juin 2000 : La littératie à l’ère de l’information).
    Le périmètre et l’intérêt du concept de « littératie » dépasse donc largement la seule « compréhension ». Alors, oui, il vient de l’Anglais « literacy » ; notez que l’article de Wikipedia s’intéresse aux autres tentatives de traduction. Nous ne sommes pas dans l’importation bêta mais dans l’appropriation d’une expression qui nous manquait. C’est comme ça que les langues vivent.

  5. Ping : Le miroir aux alouettes de la revente des données personnelles | Pratiques numériques

  6. Ping : Somewhere else, part 170 | Freakonometrics

  7. Ping : Revue de presse 20141004 Hong Kong, Reddit, CNMJ Journalisme, Transversales, Fabriq Algeria, Coulisses, Simpson/Family Guy | GYOMSON

  8. Ping : Le miroir aux alouettes de la revente des données personnelles | Tout sur la cybersociété, la cybersécurité, la cybercriminalité, la cyberdéfense, ...

  9. Ping : Mais que veut dire au juste Tim Berners-Lee lorsqu’il parle de « propriété des données  ? | «:: S.I.Lex ::

  10. zenodote

    Dans un monde où on peut vendre son sang voire un de ses reins, vendre ses propres données me semble une démarche cohérente dans la marchandisation de l’humain. Affreuse mais cohérente…

  11. Ping : Les must-read de décembre. - Lab des usages

  12. Ping : « Information will be mine ! » : vers un droit de propriété sur les données en Europe ? – – S.I.Lex –

  13. La loi informatique et liberté du CNIL semble bien inadapté aux évolutions du web, surtout de l’utilisation des cookies pour la publicité. Les internautes ne sont pas sensibilisés à la protection de leurs données…

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s