"Les gens ont peur du vol de leurs données bancaires, mais il y a des choses plus insidieuses, comme l'empreinte cybernétique"

Professeur à L'UCLouvain spécialisé en cybersécurité, il critique le manque d'ambition de l'Europe au niveau technologique, malgré les investissements massifs. Le diable se situerait dans les volontés de régulation complètement en décalage avec la réalité. Et lorsqu'on parle de métavers et de potentielle révolution digitale, du Web 3.0, il espère que l'Europe se réveillera à temps pour ne pas laisser passer le train et louper toutes les opportunités commerciales et sociétales. " Il faudrait écouter un peu plus quelqu'un comme Mathieu Michel. Les critiques sont faciles, mais, moi, je soutiens totalement ses idées. Elles ont au moins la volonté de nous rendre plus attractifs et de nous poser des questions scientifiques. C'est un message qui doit passer au niveau européen ", lance-t-il. Mais se lancer dans le Web 3.0 ne veut pas dire fermer les yeux sur les dangers qui en découlent. Mais pour lui, pour s'y préparer, il faut tester. Entretien.

On parle beaucoup du métavers. Pour vous, quels sont les intérêts ?

Côté économique, c’est la nouvelle génération d’Internet, le Web 3.0. Celui qui maîtrisera le métavers contrôlera cet Internet 3.0. Les possibilités sont très vastes. Il faut aussi voir les possibilités en termes de services de stockage, de traitement des données et de la valeur qui en découle, etc. On peut même acheter des propriétés immobilières virtuelles, c’est un nouveau modèle économique.

N’y a-t-il pas un fantasme de l’argent facile parfois, créé à partir de rien ?

C’est comme pour certaines œuvres d’art contemporaines. Certains ont bien réussi à vendre des excréments… On fait de l’argent avec tout. Il suffit que quelqu’un décide que ce soit rare pour que ça le devienne. C’est subjectif. Le métavers a des points positifs, mais peut avoir des effets pervers.

-> Lire aussi: NFT et cryptos : pure spéculation ou réelle révolution ?

Le nombre de données échangées va exploser.

Il y a effectivement un danger que les gens perçoivent beaucoup moins, c’est que vos données sont récupérées pour ce qu’on appelle la qualité de service. Cette qualité de service, on l’accepte souvent en validant des contrats utilisateurs, mais on n’a aucune garantie par rapport à la façon dont c’est implémenté. Et quand on a des Gafam (géants de la tech) qui se trouvent à l’autre bout du monde, vérifier ces procédures qui sont peu - ou pas - transparentes, c’est difficile. Voire impossible.

Vous parlez d’"empreinte cybernétique", sorte de cumul de données permettant de profiler les gens.

Il faut comprendre que tout cela s’amplifie à partir du moment où le nombre d’interactions avec le système augmente. Les gens ont peur qu’on leur vole leurs coordonnées bancaires, mais il y a des choses plus insidieuses. Votre comportement est scruté afin d’améliorer votre expérience utilisateur. Dès lors, on pourrait analyser vos comportements et utiliser ces informations pour en déduire un certain nombre d’éléments. Dans les jeux vidéo, les interactions se font pour le moment via un clavier ou une manette. Avec un casque et éventuellement des capteurs, on peut voir le mouvement de l’entièreté de votre corps. C’est bien plus puissant que de juste voir sur quelles touches vous appuyez. Et des études montrent qu’à partir d’un certain nombre de mouvements on peut vous caractériser de façon unique. C’est ça, l’empreinte cybernétique. C’est d’ailleurs déjà possible de vous identifier à votre façon de marcher.

Un profilage dangereux ?

L’axe principal, c’est la transition des données. Parfois, on les récupère de façon anodine, mais on ne perçoit pas encore tout ce qu’on peut extraire avec des data analystes. Les algorithmes de datamining d’intelligence artificielle sont extrêmement puissants. Toute la question est de savoir comment on va utiliser cette technologie. C’est comme pour l’uranium : on peut le mettre dans des centrales pour donner de l’électricité ou le mettre dans des bombes. C’est l’humain qui décide, pas le composant.

Des données banales pourraient devenir critiques ?

Dans le RGPD (Règlement général de protection des données), il faut savoir qu’il y a une distinction entre données de santé et données qui peuvent, par transitivité, devenir des données de santé. Un exemple typique, c’est que si vous êtes trop agité, que vous bougez trop la tête, ce qui n’est pas une donnée de santé de prime abord, cela va tout de même permettre de voir si vous souffrez d’un problème lié à cette surexcitation. Et ça devient une donnée de santé. Le métavers, en ouvrant l’entièreté du corps plutôt que certains comportements à la collecte de données, nous expose beaucoup plus aux collectes qui peuvent mener à des informations sensibles.

Comment encadrer cela juridiquement ?

On ne sait pas s’il y aura un ou plusieurs métavers, mais on sait qu’il y a un RGPD en Europe, ce qui n’est pas le cas aux États-Unis. Si ces deux univers fonctionnent ensemble, comment va-t-on faire ? Comment les lois vont s’y appliquer ? Quel type de métavers veut-on et par qui ? Les Gafam ? Je ne suis pas partisan de les ignorer. En Europe, on fait des règlements et, pendant ce temps, le reste du monde avance. Il faut qu’on comprenne que s’il y a de la demande, si quelqu’un y répond, les gens vont s’y précipiter. Autrement dit, tant que l’Europe fera des règlements plutôt que ses propres Gafam, les gens l’ignoreront. Et la réponse européenne est catastrophique en la matière. On a une des meilleures éducations mondiales et derrière on ne l’exploite pas.

Il faut bousculer les choses…

Il faut prendre des risques. C’est quasiment toujours rentable. L’immobilisme, lui, coûte énormément d’argent et ne rapporte rien. C’est aussi ce qu’il faut faire comprendre aux investisseurs potentiels, il faut de la confiance pour développer les géants européens.

On parle souvent des champions européens justement, comme OVH (groupe français spécialisé dans l’hébergement de données, le cloud), etc. Mais peut-on lutter face aux géants américains par exemple ?

On a des champions… mais ils sont bridés. Les pays qui les mettent en place ne veulent pas qu’ils deviennent "européens". L’identité européenne du numérique, elle n’existe pas. Il y a des produits français, belges, lettons… mais on est incapable - et c’est catastrophique quand on voit l’argent qui y est injecté - de voir plus grand et à long terme. Au lieu de voir OVH comme groupe français, on pourrait le voir comme un groupe concurrent d’Amazon et le mettre plus en avant au niveau européen.

Mais ça se développe en Europe, en particulier pour le stockage dans les data centers présents chez nous.

On a quand même des gens qui n’en veulent pas car ils disent que ça consomme trop d’énergie…

Mais c’est vrai ou ce sont surtout des discours hors-sol ?

C’est le discours de certains politiciens, ça n’a aucun sens. Les data centers sont inévitables. Il faut des politiques énergétiques pour les optimiser. Mais ça, ils ne le comprennent pas. Stocker toutes nos données sur les serveurs Amazon ou Microsoft, c’est se rendre dépendant de ces entreprises. Pendant le temps où nous tergiversons, les autres avancent et accaparent tout le business. Au niveau de la 5G, même combat. On perd un temps fou avec les consultations citoyennes avant même d’avoir déployé un démonstrateur 5G pour faire des tests…

Vous êtes aussi connu pour avoir créé l’application de tracing Coronalert. C’était compliqué au niveau protection des données ?

Le challenge n’était pas le RGPD car tout était anonymisé. Il n’y a rien d’identifiable sur les téléphones. Mais le système de tracing vous identifie car il faut bien que, si vous faites un test, le résultat puisse être envoyé. Le Covid Safe Ticket (CST), c’est la même logique. Il y a eu des critiques et on aurait pu améliorer certaines choses, mais le positif dans cette histoire, c’est qu’on s’y est intéressé. Avant cela, les problèmes de l’APD (Autorité de protection des données), on ne les voyait pas… Comme on ne répondait pas aux questions de la Ligue des droits humains (LDH). Ça a donc permis aux juristes et aux informaticiens de se parler, ce qui est la difficulté principale. L’APD a pu comprendre pourquoi certaines demandes étaient tout bonnement inapplicables et les informaticiens ont pu également comprendre le pourquoi de certaines règles du RGPD. Ça a été des discussions effrénées, mais ça a apporté beaucoup au pays. Et je suis toujours un peu attristé par le fait que certains se concentrent sur "l’exécution" de Frank Robben. Le temps qu’on a consacré à Frank Robben n’a pas été utilisé pour montrer les avancées positives. Et on a laissé les Gafam se répandre comme une traînée de poudre. Et les gens leur fournissent toutes leurs données sensibles.

Les critiques vis-à-vis de Frank Robben sont-elles exagérées ?

Le Frank Robben agressif, qui humilie tout le monde comme certains laissent entendre…, franchement… Oui, il est directif, mais j’ai eu des tonnes de réunions où il était présent et je n’ai pas vu d’agressivité. Certains s’effondrent à la moindre remarque. Quand on dirige 200 personnes, on ne peut pas passer une heure avec chacun. Mais Frank Robben n’est pas le monstre qu’on a décrit. Il faut aussi noter qu’on lui demandait de réagir en 24 heures à chaque changement dans la gestion de la crise Covid. L’autre chose, c’est que, quand Robben disait qu’il allait démissionner, personne ne voulait reprendre son poste. Ça le légitimait complètement.

Il était partout, par contre, non ?

C'est juste un homme de 61 ans qui est là depuis trente ans (il a démissionné de l'APD en février, mais reste à son poste à la Smals par exemple, le spécialiste informatique de la sécurité sociale. Cette double casquette avait d'ailleurs été fortement critiquée, NdlR) , il nous a beaucoup aidés pendant la crise. On ne balaie pas trente ans de carrière pour une année de gestion. Mais le problème avec Robben et le système derrière, c'est que, si demain il a un accident de voiture, comment ça tourne ? Ce qui m'importe, c'est donc de savoir comment on construit le système de demain, en prenant en compte le fait que certaines personnes puissent disparaître. Il faut casser l'omniprésence de certains et créer un système plus collectif.