Ce post a pour vocation de résumer la discussion que j’ai animée au récent MeasureCamp Paris, le deuxième du nom, qui a eu lieu le 27 juin 2015.
Le MeasureCamp est une non-conférence qui se tient à Londres tous les 6 mois, et à Paris une fois par an. Pour en savoir plus sur MeasureCamp, rendez-vous sur le site MeasureCamp Paris.
Cette discussion était sur le thème de la Data Privacy à l’heure de la Loi Renseignements, le tout sans aucun support. Nous n’étions que 4, ce qui en soi témoigne de l’intérêt et de l’indignation des Français à ce propos (un peu d’ironie ne fait pas de mal, c’est juste que ça m’énerve encore un peu plus).
La discussion s’est déroulée en 3 temps :
- Présentation sommaire de la Loi Renseignements (dans ses très grandes lignes… Le texte complet à jour, avec ses diverses annexes est ici), inclus le tracking systématisé, le sujet des IMSI-catchers et les questions sur l’absence de réaction politique (sauf à l’extrême-gauche) et de mouvement citoyen. Seuls de rares activistes du net (comme Guillaume Champeau de Numérama, « La Loi Renseignement adoptée définitivement. Et maintenant ? », la rédaction de la Quadrature du Net, « La France dans l’ère de la surveillance de masse ! Résistons ! », ou encore celle de Libération, « Anti-surveillance : extensions du domaine de la lutte ») ont semblé s’y intéresser, sous un autre angle que celui de la Sécurité Publique, i.e. celui des Libertés Individuelles, largement bafouées ;
- Nous avons évoqué ensuite ensemble les différences fondamentales entre les contraintes que nous imposent la CNIL, ou dans le cadre professionnel des bodies comme la DAA ou l’ESOMAR (l’instance de régulation du Market Research), et l’absence de contrôle (et de contre-pouvoir) pour les instances qui piloteront cette Loi, notamment le bâillonnement des lanceurs d’alerte, ce qui crée d’un côté des distorsions légales, notamment au-niveau de la conservation des données (quelles data ? combien de temps ? où ?), de la définition de ce que sont les PII (Personally Identifiable Information), et du rôle des Data Analysts dans la curation des bases de données et des contenus (communication des informations aux autorités ? sur quelles bases ? quel contenu ?) ;
- Enfin, nous avons évoqué particulièrement les soucis que cette Loi pourrait générer au niveau de notre business, que ce soit avec Quentin de ClicData, côté analyste, ou Sophie de Peugeot, côté industrie, avec les possibles problèmes que pourrait poser l’application de cette Loi aux transfrontaliers ou entreprises étrangères (soumis à d’autres législations), et aux risques sur le business en-dehors de France, entre autres du point de vue du stockage des données (peut-on espionner des données françaises stockées à l’étranger, ou au contraire des données étrangères stockées en France ?). Il faut aussi noter la question soulevée des coûts de l’installation et de la maintenance d’une infrastructure nécessaire à l’observation de la masse considérable de donnée qu’il faudra traiter. Pour information, récupérer les données d’un seul GGSN (la passerelle s’interfaçant avec les autres réseaux de données, essentiellement internet) pour un seul opérateur mobile, c’est au moins un TéraByte par jour… A date, la France compte 4 opérateurs mobiles qui ont de 3 à 6 GGSN chacun, ce qui nous fait une bonne quinzaine de TéraBytes par jour, rien que pour le trafic internet mobile. Quel ministère va supporter ces coûts ? Si ce n’est pas précisé (pas d’enveloppe clairement attribuée dans le prochain budget) , est-ce qu’on a affaire à une baudruche gouvernementale qui ne vise alors pas simplement à donner le change vis-à-vis d’une situation politique particulière ?
En conclusion, nous nous sommes promis de continuer à agiter la communauté, afin d’obtenir des éléments de réponse, et surtout de faire en sorte que l’application de cette Loi ne soit pas au détriment des citoyens que nous sommes… Et que nous obtenions des clarifications, notamment des règles d’application pour nos businesses respectifs.
Et maintenant? Résistons!
Data Elicitation 