Dans leur zèle à freiner les grandes technologies par le biais de la loi sur les marchés numériques, les législateurs européens mettent en danger la vie privée et la sécurité de tous les Européens. Il est temps d’accepter la réalité que les mesures destinées à forcer les grandes plateformes à être plus ouvertes les obligeront à abaisser leurs défenses et à ouvrir les données des Européens aux mauvais acteurs. Aucun vœu pieux ne changera le fait que l’ouverture forcée est dans un bras de fer avec la sécurité. Les dispositions de la DMA en matière de confidentialité et de sécurité ne sont pas près de prendre le problème au sérieux et s’attendent déraisonnablement à ce que les entreprises de technologie résolvent une nouvelle classe de risques que la DMA créera.
Il ne peut être contesté que certaines des idées phares de la DMA, comme celles sur l’interopérabilité forcée ou la portabilité des données, créeront de nouveaux risques pour la vie privée et la sécurité. Le vrai problème est de savoir dans quelle mesure ces risques sont traités de manière inadéquate dans la DMA. Les législateurs semblent penser qu’il leur suffit de dire aux entreprises technologiques : « Faites cette chose très risquée et difficile tout en vous assurant qu’elle ne pose pas de risques pour la vie privée et la sécurité. » Ou, en d’autres termes, « nerd plus dur ». Ce n’est pas une façon responsable de réglementer et de mettre en péril les données des Européens et notre accès aux services sur lesquels nous comptons.
Exclure les acteurs mauvais et peu fiables est l’essence même de la sécurité
L’une des idées les plus discutées de la DMA, l’interopérabilité forcée, peut très facilement devenir l’un des plus grands échecs de la politique technologique. La proposition initiale de DMA était relativement raisonnable par rapport aux amendements radicaux adoptés par le Parlement européen, en particulier en ce qui concerne les réseaux sociaux et les services de messagerie. Si elles étaient adoptées, ces règles ouvriraient les données des Européens à des exploitations par de mauvais acteurs à une échelle qui ferait que Cambridge Analytica ne vaudrait même pas la peine d’être mentionnée.
Refuser d’échanger nos données avec des tiers non identifiés et non vérifiés est précisément ce que nous devrions attendre des fournisseurs de services numériques. Si elle est prise au sérieux, « garantir un niveau élevé de sécurité » signifierait que les données ne devraient être échangées qu’avec des entreprises qui offrent un niveau de sécurité au moins équivalent. Et voici le problème: le niveau de sécurité fourni par les grandes entreprises de technologie à leurs utilisateurs est largement inégalé dans le monde commercial et même la grande majorité des organisations gouvernementales ne pouvaient pas les égaler.
Nous devons éviter un nivellement par le bas. Une interopérabilité sûre est possible, mais cela signifiera probablement des frictions notables et l’exclusion des start-ups « deux gars dans un sous-sol ». La DMA sera-t-elle interprétée d’une manière qui accepte cette réalité ou cette préoccupation sera-t-elle abordée en agitant davantage la main et en blâmant les grandes entreprises technologiques pour les échecs de leurs concurrents? La réponse n’est pas difficile à deviner.
À l’instar de l’interopérabilité forcée, la DMA forcerait les entreprises visées à partager les données des utilisateurs avec d’autres entreprises, y compris les données qui pourraient permettre de retracer les recherches individuelles des utilisateurs de moteurs de recherche. Comme même le Contrôleur européen de la protection des données l’a remarqué, de nombreuses informations sensibles sur n’importe qui peuvent être recueillies simplement en sachant ce qu’il a recherché en ligne.
Dire, comme le fait la DMA, qu’un tel partage devrait simplement faire l’objet d’une anonymisation trahit un manque de compréhension de la difficulté de partager des données au niveau de l’utilisateur d’une manière qui ne pourrait pas être désanonymisée. Les techniques de désanonymisation ne font que gagner en sophistication. Il y a peu d’espoir qu’une règle sur le partage des données au niveau de l’utilisateur soit appliquée avec compétence, donc ce serait beaucoup plus sûr pour nous tous si elle ne devenait jamais loi.
La combinaison des données est nécessaire pour la cybersécurité
Pour être efficaces, les cyber-défenseurs ont besoin d’informations. Plus ils ont d’informations sur les actions des attaquants, mieux ils peuvent protéger les utilisateurs dont ils ont la charge. Par exemple, l’analyse des e-mails entrants à la recherche de menaces de sécurité peut nécessiter l’intégration de services de sécurité externes. Regarder simplement l’e-mail peut donner quelques indices, mais il est facile pour les attaquants de préparer des e-mails d’appât qui ne seront pas facilement identifiés de cette façon.
La DMA interdirait de combiner des données personnelles provenant de divers services, à moins que l’utilisateur ne fournisse un consentement spécifique. Pour continuer à fournir le niveau de sécurité actuel dans le cadre de la DMA, les fournisseurs de services devront commencer à bombarder les utilisateurs avec un nouveau type de fenêtres contextuelles de consentement. Les fournisseurs risqueront également des amendes massives pour avoir fourni trop d’informations et trop peu ou pour avoir présenté leur consentement sous un jour positif. À une époque où les cyberattaques deviennent de plus en plus dangereuses, il n’est pas sage pour les fournisseurs de services de protéger leurs utilisateurs.
Comment le DMA pourrait-il être rendu plus sûr pour les utilisateurs ? Un pas dans cette direction a été proposé par certains gouvernements de l’UE, à savoir l’ajout d’une disposition générale à l’article 7 de la DMA, selon laquelle les contrôleurs d’accès ne devraient être tenus d’agir de manière proportionnée qu’en vertu de la DMA, en tenant compte de la nécessité de protéger la vie privée, la sécurité des utilisateurs, la qualité et la fonctionnalité des services.
Il est notoirement difficile d’accroître la confidentialité et la sécurité de l’information par la loi, même si c’est l’objectif explicite de la loi. Cependant, nous devrions au moins nous attendre à ce que la loi ne diminue pas le niveau de confidentialité et de sécurité. La DMA, en particulier dans la version du Parlement européen, sacrifie clairement la vie privée et la sécurité des utilisateurs en faveur d’aider certaines entreprises à se battre avec les grandes technologies. La DMA doit se concentrer plus clairement sur les intérêts des utilisateurs.