Données privées, données publiques: notions élastiques

Hors-cadre
Par · 06/05/2014

Confier ses fichiers et données à un prestataire extérieur comporte, bien entendu, des avantages: accès facilité à tous ceux qui doivent y accéder (en ce compris des clients, des partenaires, des employés itinérants), gestion des mécanismes contraignants de sauvegarde, sécurisation, etc.

Mais cette facilité ne va pas sans risques en termes de contrôle que l’on préserve sur ces données. Une fois que vous en aviez confié le sort et la gestion à un tiers, difficile d’en préserver la maîtrise, en cas de problème ou de changement de prestataire.

Et les scénarios sont multiples: changement de politique de la part du prestataire, faillite, acquisition par un autre acteur dont les règles sont toute autres, revende de certaines données à des fins de monétisation…

On savait déjà le risque bien présent lorsque ces prestataires se nomment Google ou Facebook, pour ne citer qu’eux. Certaines banques commencent à vendre ainsi “leurs” données clients à des tiers. Bien d’autres acteurs disposent, eux aussi, de données personnelles potentiellement juteuses sur notre vie: le retail, les assurances, les mutuelles… l’Etat.

Improbable que ce dernier veuille tirer profit de vos données (fiscales, médicales…)? Détrompez-vous: les changements de prédominance politique risquent parfois d’avoir des conséquences inattendues. C’est ce que craignent apparemment certains au Royaume-Uni.

“Chères” têtes blondes

C’est en fait un projet “open data”, aux contours un peu trop flous, qui soulève la polémique outre-Manche. La mise à disposition de données – certes anonymisées – avait déjà été décidée dans le domaine médical (données du NHS) et fiscal (données des contribuables “libérées” par le service Revenue and Customs). L’étape suivante est la mise à disposition des données scolaires (NPD- National Pupil Database).

Toutes les données scolaires sont centralisées, depuis 2002, dans la base nationale NPD, moyennant, toutefois, l’assentiment préalable des parents. Ces données concernent à la fois l’identité des enfants, leur adresse, date de naissance, résultats scolaires mais aussi des informations plus sensibles du genre origine ethnique, handicaps, problèmes spécifiques (dyslexie,…), situation sociale (interventions des services sociaux) etc.

C’est évidemment la mise à disposition de telles données sensibles au profit de ré-utilisateurs aux intentions potentiellement mercantiles qui provoque un tir de barrage des défenseurs de la vie privée. Car, même anonymisées, ces derniers craignent que les données puissent trop aisément être identifiables.

Les données pourraient être mise à disposition “à des fins de recherche ou d’analyse, de production de statistiques, de fourniture d’informations, de conseils ou d’orientation.” Selon différents niveaux de “sensibilité”: données scolaires pures; données tenant plus aux résultats et comportements (points, scores aux examens, absences, exclusions); données sensibles…

Certes, le gouvernement britannique veut conserver des protections (l’anonymisation) mais c’est tout le débat de la centralisation des données et de leur ouverture et du balisage de cette ouverture qui refait ainsi surface. Ainsi que celui d’un changement des règles que pourrait imposer celui qui détient les données.

Voilà qui devrait nous faire apprécier les barrières et conditions que l’on définit pour la protection de nos données. Par exemple, le principe appliqué pour nos données médicales. Via des réseaux tels le Réseau Santé Wallon, elles sont certes accessibles par tous les professionnels habilités à consulter les données d’un patient déterminé lorsque ses intérêts l’exigent (principe du “lien thérapeutique”), mais sans que ces données ne se retrouvent toutes transvasées dans un seul et même coffre-fort. Dont un seul prestataire a la clé.

On ne peut donc qu’espérer que tout projet de centralisation de données pèse très soigneusement les risques – même ceux que l’on considérerait comme plus qu’improbables…

Sans compter qu’en ces temps de “cloud-mania”, un minimum de prudence et de vigilance est plus que jamais de rigueur.