INTERVIEW exclusive - Dans le cadre de la Maddy Keynote 2020, David Caroll, lanceur d'alerte dans l'affaire Cambridge Analytica, a répondu sans concession aux questions de Clubic autour du dossier qui a secoué Facebook et de la menace qui pèse sur la protection des données personnelles des internautes.
David Caroll, professeur agrégé de media design et de droit, est connu pour avoir déposé plainte devant un tribunal britannique contre Cambridge Analytica en 2018, la sulfureuse société accusée d'avoir joué un rôle dans l'élection présidentielle américaine de 2016 (mais pas que), avec la complicité d'un réseau social plutôt bien connu du grand public, un certain Facebook. Celui qui est devenu un défenseur des droits des données avait réclamé une copie des données que la firme possédait à son sujet.
Personnage clé du documentaire The Great Hack: l'affaire Cambridge Analytica, toujours disponible sur Netflix, David Caroll a répondu aux questions de Clubic à l'occasion de la Maddy Keynote 2020 qui a lieu les 30 et 31 janvier à Paris.
L'interview de David Caroll, lanceur d'alerte dans l'affaire Cambridge Analytica
Clubic : David, il y a près de deux ans maintenant, vous avez déposé plainte contre la maison-mère de la société Cambridge Analytica, SCL, accusée d'avoir obtenu illégalement les données Facebook de dizaines de millions d'utilisateurs à travers le monde. Vous réclamiez les données détenues à votre sujet. Aujourd'hui, pensez-vous que ce scandale a entaché de manière définitive la réputation de Facebook, alors que le groupe n'a presque jamais été puissant en Bourse (cours à 222 dollars le 17 janvier 2020) ?Le rapport de l'ICO (Ndlr : Information Commissioner's Office, équivalent britannique de la CNIL) n'a toujours pas été publié depuis la saisie sous mandat criminel des serveurs de Cambridge Analytica/SCL au printemps 2018. Le caucus de l'Iowa aura lieu le 3 février, dans seulement quelques jours, et nous ne savons toujours pas ce que ces serveurs contiennent, bien que l'ICO a confirmé qu'ils contiennent des données électorales américaines et des données issues des questions OCEAN liées aux campagnes présidentielles de 2016.
« Cambridge Analytica n'a peut-être pas été suffisamment sanctionnée pour dissuader d'autres acteurs de se livrer à des abus »
Il est évident que l'application des lois existantes évolue trop lentement par rapport aux progrès de la technologie et au cycle électoral lui-même. Même certaines des lois électorales et de protection des données les plus strictes au monde ne sont « pas appropriées » à protéger les élections libres et équitables contre les abus massifs de données.
Il est peu probable que Cambridge Analytica elle-même ait été suffisamment sanctionnée pour ses pratiques illégales pour dissuader suffisamment d'autres acteurs peu scrupuleux à abuser des données de masse durant les élections. Selon moi, le droit à l'insolvabilité et à la faillite a offert une porte de sortie efficace pour les propriétaires de la société face à leurs obligations en matière de violation de la protection des données.
Interstellar Lab : "Nos villages bio-régénératifs seront comme des Center Parcs de la science"
Quant à Facebook, la confiance dans la plateforme a considérablement diminué et de différentes manières, ce qui vient en contradiction avec son cours de bourse. Par exemple, aux yeux des talents, Facebook n'est plus la meilleure entreprise dans laquelle on puisse travailler ni la plus attractive. La chute de Facebook dans le classement Glassdoor depuis les scandales de Cambridge Analytica (et d'autres) le prouve (Ndlr : Facebook était en première position en 2018, septième en 2019 puis vingt-troisième en 2020). Il pourrait y avoir une douzaine d'autres façons de mesurer ce déclin, mais aucun d'eux n'agira sur le cours de Facebook, qui capte l'attention économique mondiale avec des acteurs comme Google et Netflix.
« La confiance en Facebook a considérablement diminué »
Comment jugez-vous les évolutions de Facebook en matière de protection des données personnelles depuis l'éclatement du scandale Cambridge Analytica ?
La régie Facebook Ads est le développement le plus remarquable depuis 2016, où des annonces obscures, opaques, introuvables et intraçables ont pullulé. Au moins, maintenant, l'outil permet un examen et une vérification de haut niveau. Pour Facebook, cette transparence fut en grande partie destinée à devancer la réglementation de l'État sur la divulgation des annonces politiques. Mais Facebook Ads a ses limites et ses problèmes, comme la transparence sur la façon dont les audiences personnalisées (listes d'électeurs) sont utilisées pour « microcibler » les utilisateurs de Facebook par nom (les individus peuvent voir s'ils ont été ciblés de cette façon, pas la société civile).
Craignez-vous un nouveau scandale de ce type pour les élections présidentielles américaines à venir ?
Il n'y a pas grand-chose pour empêcher les abus de données en masse, donc tant que nous n'aurons pas mis en place des garde-fous, il n'y aura qu'une incitation à développer la surveillance des électeurs et la technologie d'analyse. Mike Bloomberg a lancé Hawkfish, une société essentiellement utilisée comme une boutique privée de données électorales destinée à procéder à du microciblage sur un très grand nombre de publicités Facebook.
« La valeur des données personnelles est élastique »
Existe-t-il, selon vous, des sociétés comme "Cambridge Analytica" et dont on ignore encore les activités ?
Les anciens employés ont créé leurs propres entreprises, comme Data Propria, ClearIA ou Auspex, et de nouvelles apparaissent sans cesse (même si Alexander Nix, l'ancien directeur général de Cambridge Analytica, semble avoir un nouveau rôle à jouer, notamment dans le marketing du cannabis médical).
Nous n'avons jamais eu le fin mot de l'histoire de Psy-group, la mystérieuse société israélienne de manipulation des médias sociaux, liquidée par le tribunal de Tel-Aviv et qui fut aussi l'objet d'une enquête de l'avocat spécial Robert Mueller (Ndlr : ex-directeur du FBI, de 2001 à 2013).
Le fait que Britanny Kaiser (Ndlr : personnage important de Cambridge Analytica, qui avait témoigné devant le Parlement britannique sur son rôle dans les scandales liés à l'entreprise) dévoile tout son disque dur de Cambridge Analytica nous montre qu'on ne le saura jamais.
Un mot sur Google. La firme de Moutain View a annoncé, le 14 janvier 2020, sa volonté de supprimer les cookies "tiers" de Google Chrome d'ici deux ans, pour les remplacer par une "alternative" censée, officiellement, renforcer la confidentialité de la navigation. En réalité, n'est-ce pas un moyen pour monétiser l'intégration des "futurs cookies" ? Qu'en pensez-vous ?
Google a toujours excellé dans l'utilisation de la publicité de la vie privée comme un prétexte pour capturer le marché dans l'écosystème de l'économie de l'attention. Le blocage des cookies de Chrome nuit aux autres acteurs du marché, mais il est commercialisable auprès des consommateurs en tant que dispositif de protection. Et il protège probablement la domination de Google sur le marché.
« Les données sont une atmosphère et elles se déplacent dans le monde entier sans respecter les frontières »
Est-ce que les données sont véritablement devenues la matière la plus chère au monde ?
Je me demande si nous pouvons aussi facilement mettre un prix sur les données. Nous avons du mal à en mesurer le coût. Si nous ne savons pas ce qu'elles valent, comment pouvons-nous savoir si elles valent plus que le pétrole ? Si nous nous limitons au cours des actions, je suppose qu'il y a quelque chose à dire sur le pouvoir ascendant du capitalisme de surveillance.
Le coût de la tentative de rapatriement de mes données de Cambridge Analytica dans les tribunaux britanniques vous ferait pleurer. La simple demande d'accès coûtait 10 livres sterling au départ. Puis ce montant est passé à six chiffres en frais de justice. La valeur des données personnelles est élastique. C'est pour la même raison que l'économie de l'attention fonctionne via des algorithmes d'enchères en temps réel. La valeur des données ne peut être déterminée qu'en une microseconde dans l'ensemble, mais aucun d'entre nous ne peut voir ce montant, même si c'est notre attention qui a été mise aux enchères.
Lors de la Maddy Keynote, vous interviendrez le vendredi 31 janvier à 14h20, lors d'une session appelée "Big Brothers." Vous vous exprimerez notamment autour de la protection de la protection des données et de la démocratie. Les deux sont-ils compatibles aujourd'hui ?
Je vais parler de la façon dont j'ai testé le régime européen de protection des données et son extra-territorialité lors des élections présidentielles américaines de 2016, mais ce ne sont pas les lois sur la protection des données qui ont échoué, ce sont les lois sur l'insolvabilité/la faillite qui n'ont pas réussi à protéger la démocratie au final. Je démontrerai que la vie privée est en danger, mais qu'elle n'est pas morte, ni incompatible avec l'avenir. Au contraire, la reconnaissance par l'UE de la protection des données comme un droit humain fondamental dans la Charte était un droit visionnaire à consacrer, des décennies avant que nous en ayons besoin. Le reste du monde, en particulier les États-Unis, doit rattraper l'UE à cet égard, pour éviter de devenir plus semblable à la Chine en termes de droits des données.
« Google est né dans le sillage des sanctions infligées par Microsoft pour comportement prédateur. Qu'est-ce qui pourrait ressortir d'une action de Google ? »
Quel est votre avis sur le Cloud Act américain, en quelques mots ? Est-ce une menace pour la souveraineté technologie des puissances étrangères ? Rappelons, pour faire simple, que le texte permet aux autorités judiciaires américaines d'accéder et de saisir les données électroniques stockées sur un territoire étranger (la France par exemple) par des entreprises de l'Oncle Sam.
Les données sont une atmosphère et elles se déplacent dans le monde entier sans respecter les frontières. Les accords internationaux et les contestations judiciaires de Max Schrems (Ndlr : l'activiste autrichien qui veut empêcher le transfert des données personnelles de la population européenne vers les États-Unis), par exemple, pour tester le système, sont les querelles nécessaires pour parvenir à une adéquation. Si cela peut être fait pour la pollution et les normes d'émissions des voitures, alors cela peut être fait pour les données personnelles, ça ne sera pas facile ni simple, mais intéressant !
La question pourra vous paraître simple, mais êtes-vous pour le démantèlement des GAFAM ?
Je pense que l'annulation de plusieurs fusions serait une manière raisonnable de procéder, comme DoubleClick pour Google et Instagram pour Facebook. Comme l'a montré l'action antitrust contre Microsoft, même un effort antitrust raté de la part des régulateurs peut avoir des effets positifs sur le marché. Google est né dans le sillage des sanctions infligées par Microsoft pour comportement prédateur. Qu'est-ce qui pourrait ressortir d'une action de Google ?
« Un amendement constitutionnel est probablement nécessaire pour consacrer la protection des données comme un droit fondamental »
J'aimerais avoir votre avis sur le RGPD européen, qui n'a donné lieu qu'à de rares condamnations ou amendes. Souhaiteriez-vous un système réglementaire identique aux États-Unis ?
Les États-Unis doivent absolument respecter et dépasser le RGPD. À long terme, je soupçonne qu'un amendement constitutionnel est probablement nécessaire pour consacrer la protection des données comme un droit fondamental qui pourrait être équivalant à celui de la Charte des droits fondamentaux de l'Union européenne. L'activité la plus intéressante aux États-Unis se déroule cependant au niveau des États fédérés. Je contribue à faire avancer la loi sur la protection de la vie privée de New York, qui irait plus loin que le RGPD et le CCPA (Ndlr : California Privacy Act), si elle n'était pas « édulcorée » au moment d'atteindre le bureau du Gouverneur.
D'un point de vue plus personnel, vous êtes professeur de droit et de media design (corrigez-moi si je me trompe) à la Parsons School of Design, à New-York. Vous êtes un personnage central du brillant documentaire "The Great Hack" de Karim Amer et Jehane Noujaim. Votre vie a-t-elle changé ces derniers mois ?
J'ai beaucoup voyagé à travers le monde pour parler du film et de ses enjeux aux gens. Je peux dire que le film que le film a eu un grand impact parce que les questions que les gens me posent maintenant sont beaucoup plus sophistiquées qu'elles ne l'étaient auparavant. Je pense que cela montre que le film a eu un énorme effet éducatif, pédagogique. Je trouve que c'est particulièrement vrai lorsque je visite d'autres universités et que je parle à des étudiants et à des professeurs.
David, un grand merci pour votre temps, et bonne continuation pour la suite.
Merci à vous !