Claustrophobie Les périls du big data, les consommateurs luxembourgeois les perçoivent avec plus d’acuité au niveau local qu’au niveau international. Peu importe qu’à Seattle, un Jeff Bezos, le PDG d’Amazon, sache quels livres on commande. C’est l’idée qu’un ancien camarade d’école ou un cousin éloigné aperçoive la liste d’achats qui provoque des crises de claustrophobie dans le microcosme grand-ducal. Le gouvernement a demandé au visionnaire auto-proclamé Jeremy Rifkin de faire du Luxembourg un « living lab » pour une économie « pleinement interconnectée ». Le big data est un des mots-fétiches du secteur de l’ICT. Or, jusqu’ici, comme modèle d’affaires, il a fait un flop au Luxembourg. Pour les acteurs économiques locaux, l’exploitation des données de leurs clients est d’abord une source de malaise.
Pour Rifkin, la sphère privée est un anachronisme encombrant, un débris bourgeois du XIXe siècle, dont il faudra se libérer sans sentimentalisme. Dans son dernier livre, The Zero Marginal Cost Society: The Internet of things, the collaborative commons, and the eclipse of capitalism, il revisite le passé (confondant, au passage, sphère familiale et sphère publique) : « It wasn’t until the capitalist era that people began to retreat behind locked doors. […] In virtually every society that we know of before the modern era, people bathed together in public, often urinated and defecated in public, ate at communal tables, frequently engaged in sexual intimacy in public, and slept huddled together en masse. »
Les habitants du micro-État ont développé des stratégies sociales particulières, alliant familiarité et distanciation. Cactus, qui a plus de 200 000 cartes clients en circulation, dit ne pas en exploiter les données à des fins de publicité ciblée, par « frousse » d’un backlash. On travaillerait plus « avec le cœur » qu’avec le big data. Pierre Zimmer, le chief information officer (CIO) de Post, évoque « la confiance historique » des citoyens envers l’institution postale. Même son de cloche du côté des assureurs autochtones. Remy Eis, le directeur des systèmes d’information de Foyer, fait référence à « la mentalité luxembourgeoise » comme « un diktat plutôt fort », Il parle longuement du « capital de confiance, un des piliers de notre business model » qui rendrait nécessaire une approche « très prudente, très réticente ». Et d’ajouter : « Nous avons une meilleure vue de nos clients à travers notre réseau d’agents ; c’est le canal sur lequel nous misons. Et il nous procure une meilleure qualité d’information que le big data. »
Cyril Pierre-Beausse est un des rares avocats au Luxembourg à s’être spécialisé dans le big data. Il parle d’« une approche familiale des relations commerciales » et constate un « retard au décollage » :« Le marché existe, mais il est moins grand que le bruit qui est fait autour. » Certes, au fil des décennies, certaines entreprises locales ont amassé des bases de données impressionnantes. Seul hic : celles-ci servaient à la facturation et n’étaient nullement destinées au profilage. Or, dans la logique de la protection des données, une utilisation secondaire (à des fins initialement non prévues) est à peu près le mal absolu. Elle est assimilée à un abus de confiance, le client n’ayant pas donné son accord (en cochant une case « I agree », par exemple). La mise en place a posteriori d’une architecture permettant d’exploiter les données s’avère extrêmement laborieuse. « Souvent, les acteurs viennent nous voir avec un projet quasi fini sans nous avoir consulté en amont et attendent simplement que nous leur donnions l’aval », se désole Thierry Lallemang de la Commission nationale pour la protection des données (CNPD). Beaucoup des professionnels interrogés pour cet article ont qualifié la CNPD de « sévère », voire de « conservatrice ». Un indice que l’instance de régulation prend son rôle au sérieux.
Mother knows everything « Dans trois ou quatre ans, tout le monde devra en avoir un », estime le vendeur d’une grande chaîne de produits électroménagers. Il pointe vers les nouveaux produits de Nest, la marque emblématique de l’Internet of things (IoT) et du smart home. Il s’agit d’un écosystème « intelligent », connecté à Internet, reliant des thermostats, caméras de surveillance et alarmes incendie. Les senseurs captent l’intensité sonore et lumineuse, l’humidité et la température, les taux de monoxyde de carbone, sans oublier les mouvements, et les présences et absences – tout un panoptique digital. Qui a accès aux données ? Le vendeur affirme : « Uniquement vous ». Puis hésite et ajoute : « Enfin, vous verrez cela dans le mode d’emploi ». Dès la deuxième page, Nest y informe le client : « Vous consentez au transfert de vos données personnelles vers les États-Unis ou d’autres pays où Nest exerce ses activités ». Pour puiser un maximum de données, Nest propose des incitants comme des « programmes de récompenses ». « Il est également possible, écrit la firme, que nous recevions des informations de nos partenaires et d’autres sources pour les associer aux informations qui figurent dans votre compte Nest. » Il y a deux ans, Nest fut racheté par Google pour 3,2 milliards de dollars. La firme de Mountain View a promis de ne pas croiser les informations de ses appareils de domotique avec celles générées par son moteur de recherches.
Quelques semaines avant Noel 2014, Post avait lancé la commercialisation de « Mother », un système de tracking développé par la firme française Sense et dont la console en plastique blanc a la forme d’une babouchka avec deux points bleus pour les yeux et un éternel et inquiétant smiley pour bouche. « Mother knows everything » – le slogan choisi par Sense a une consonance distinctement orwellienne. Grâce à des capsules de quelques centimètres (des motion cookies), « Mother » peut vérifier qui rentre à quelle heure, déterminer « le vrai champion du brossage de dents », « déduire les cycles de sommeil » et « déceler des variations d’habitude sur le long terme ». En automne dernier, Post a lancé sa nouvelle gamme « smart home », des détecteurs d’inondation, de fumée et de mouvements sans oublier des caméras qui peuvent être consultées à distance.
Tranquilliser Pour Pierre Zimmer, CIO chez Post, les appareils domotiques seraient pour l’instant surtout adoptés par les « technophiles ». Mais pour les opérateurs de télécom, l’IoT promet « la prochaine pousse de croissance ». (En forçant tous les ménages à se munir de smart meters à partir de ce juillet, le gouvernement aidera à réaliser cette utopie.) Les prospectus pour le smart home de Post opèrent avec des slogans comme : « Cela me tranquillise ».
La rente promise par la surveillance est l’efficience et la sécurité. Dans un monde dérégulé, le smart home procure l’illusion d’un refuge sécurisé et régulé à une population passablement terrorisée. (Dans son plan Vigilnat, le gouvernement institue l’alerte comme état permanente et établit une échelle des menaces de « possible, mais peu vraisemblable » à « concrète et imminente », en passant par « réelle, mais abstraite ».) Or, les objets connectés sont aussi une source de vulnérabilité et leur niveau de sécurité est notoirement faible. (Pierre Zimmer, assure qu’aucun produit commercialisé par Post ne serait lancé « sans un screening par nos soins ».) Lorsque toute la maison sera connectée à Internet, un hack pourra s’avérer pire qu’un cambriolage.
L’IoT se propage insidieusement. Différentes études prédisent que, d’ici 2020, il existera mondialement entre vingt et quarante milliards d’objets connectés. Selon les estimations les plus récentes de l’Institut luxembourgeois de régulation, il y aurait quelque 42 300 cartes SIM machine-to-machine au Grand-Duché, que ce soit au sein de bracelets connectés, de voitures ou de systèmes d’alarme. Marc Kohll, le chef du service statistique de l’ILR, évoque « une croissance, mais pas vraiment une explosion ». Or, pointe-t-il, la grande majorité des outils connectés passent désormais par wifi, et non par les cartes SIM, qui sont surtout utilisées pour les applications mobiles.
Du grand gâteau des cartes SIM pour l’industrie automobile, Post a réussi à se tailler une part : En cinq ans, elle a fourni quelque 1,2 million de cartes SIM à PSA Peugeot-Citroën. Grâce à son réseau de contrats roaming étendu, le petit acteur indépendant et neutre peut assurer une meilleure couverture qu’un grand groupe de télécom. À partir d’avril 2018, le marché connaîtra un deuxième élan, puisque toute nouvelle voiture immatriculée dans l’Union européenne devra être équipée d’un dispositif « eCall » appelant le 112 en cas d’accident grave.
Taylor 2.0 Depuis 1994, Skycom, une firme installée à Niederdonven, dit avoir installé des systèmes de géolocalisation dans plus de 12 000 véhicules, de la bétonnière à l’oldtimer. Le système « permet de voir en direct, à tout moment et en tout lieu – pratiquement en un seul clic – l’emplacement actuel, l’historique des positions ainsi que les temps d’attente et les trajets de chaque véhicule », écrit Skycom dans un de ses prospectus. Paul Lehnert (l’ancien directeur général de Saint-Paul), qui, avec son frère Claude, dirige l’entreprise, parle d’une croissance annuelle « à deux chiffres ». Il évoque les lignes rouges : « Nous ne vendons pas nos données. Par le passé, des intermédiaires nous ont approchés pour avoir des données sur le trafic ou les températures dans les camions frigorifiés. Nous avons refusé, car ce n’est pas notre business. »
Guy Thinnes, le directeur de Sales-Lentz, a fait installer des boîtes noires (de la firme néerlandaise TomTom) dans les bus de sa flotte. Le système de géolocalisation permettrait « un feed-back permanent », dit-il. Le big data ouvre des possibilités pour mesurer la performance, au-delà de ce que pouvait rêver un Frederick Winslow Taylor. Le système avertit le chauffeur lorsque celui-ci roule trop vite ou négocie un virage de manière trop serrée. Une fois par an, Sales-Lentz décerne le prix du meilleur chauffeur sur la base des données recueillies par le système TomTom. Depuis l’installation des boîtes noires il y a trois ans, Thinnes dit avoir économisé quinze pour cent en carburant par an et drastiquement réduit le nombre d’accidents graves.
Les compagnies qui ont doté leur flotte d’entreprise d’outils de géolocalisation (c’est-à-dire quasiment toutes) occupent un espace juridiquement flou : les seules finalités officiellement admises sont l’optimisation des flux de travail et la protection des marchandises, une surveillance des chauffeurs est par contre considérée comme « un détournement de finalité ». Selon Thinnes, le monitoring à distance ne s’apparenterait pas à de la surveillance, mais à « une protection » pour les salariés : « Ils en voient la finalité. Si on reçoit des réclamations qu’un bus aurait eu du retard ou aurait roulé trop vite, nous pouvons contrôler si cela a effectivement été le cas ou non. » À Jean-Paul Baudot, secrétaire central du LCGB, le syndicat majoritaire chez Sales-Lentz, la géolocalisation ne pose pas problème : « Pour protéger les chauffeurs des brutalités de certains passagers, nous plaidons même pour l’installation de caméras. Il faut être réaliste, le chauffeur est de toute manière contrôlé : par le tachygraphe, par le GPS et bientôt par la caméra. »
La mouche sur le pissoir L’année dernière, les compagnies d’assurance Axa et la Bâloise ont lancé leurs applications « Axa drive » et « Game of Roads ». En téléchargeant cette app, les jeunes conducteurs peuvent faire récompenser leur style de conduite par des points et des bonus. Un système qui, par gratification instantanée, est censé modeler les comportements (« conscientisation du conducteur à travers une expérience ludique », comme le décrit Bâloise Assurances), un peu comme une mouche gravée sur un urinoir est censée manipuler les hommes à pisser droit. Le smartphone se transforme en pion, le gyroscope et le GPS enregistrant le moindre mouvement de la voiture. Axa et la Bâloise ont souligné que les données récoltées ne seront pas utilisées dans la tarification. Il est toutefois difficile de ne pas voir, derrière le côté « ludique », un ballon d’essai pour sonder le marché. (Les deux apps ont été des succès et ont rassemblé plus de 8 000 participants au Luxembourg.)
Il y a sept ans, Axa avait proposé aux jeunes conducteurs de se faire installer un « crash recorder » dans leur voiture, enregistrant les vingt secondes précédant et les dix secondes suivant un accident, contre une remise sur l’assurance auto. Ce fut un échec, l’assureur finit par en installer à peine 300. Au Luxembourg, le permis de conduire symbolise la liberté, et la boîte noire d’Axa rappela trop l’autorité parentale. Or, les mœurs changent. « Dans dix ans, ceux qui refuseront de porter une smart watch, devront-ils payer plus pour leur assurance santé ? », se demande Marc Hengen, le directeur de l’Association des compagnies d’assurance (ACA). Lalux et le Foyer, les deux compagnies d’assurance luxembourgeoises, ne sont pas des enthousiastes du big data, Mais elles observeront ce qui se fait à l’étranger, et devront s’adapter en fonction. Le petit Luxembourg ne sera pas un trendsetter. « D’un point de vue statistique, estime Remy Eis du Foyer, le marché luxembourgeois ne présente pas la masse critique. Certains indicateurs du big data sont difficilement applicables ici, à cause de la petitesse du territoire ».
La prolifération de données mènera-t-elle à une individualisation des profils de risques ? Grâce au smart home, au smart phone, à la smart mattress et aux smart watches, l’assureur pourra-t-il un jour analyser le nombre de calories que l’assuré consomme, de cigarettes qu’il fume, d’heures qu’il dort ou de kilomètres qu’il parcourt (à pied et en voiture) ? Cette transparence sonnera le glas de la mutualisation des risques, un modèle d’affaires basé en partie sur la solidarité. Puisque le nombre d’accidents ne diminuera pas ou peu, une redistribution s’opérera : les uns auront à payer plus, les autres moins. Hengen, dit constater une tendance à l’individualisation : « Jusqu’où ira-t-elle ? Cela dépendra jusqu’où le client acceptera d’aller. »
Spam City Il aura fallu longtemps pour les convaincre, mais les administrations étatiques et communales préparent leur mise à nu. Le 8 avril aura lieu le lancement silencieux du nouveau portail open data. Un déluge de données, qui, par la suite, continueront à être mises à jour. (Les données seront rendues anonymes, même si les experts interrogés concèdent ne jamais pouvoir exclure que des identités ne puissent être reconstruites par des croisements.) La date du lancement coïncidera avec le Hackathon organisé par la Docler Holding (une société spécialisée dans le porno avec siège au Luxembourg), qui réunira plus de 300 codeurs. Ils analyseront, croiseront et interpréteront les données publiques pour développer des applications et des modèles d’affaires. Les données seront rendues accessibles sous le statut CC0 (pour creative commons zero), le régime le plus libéral qui permet à quiconque de faire des données ce que bon lui semble.
Le gouvernement et les édiles s’attendent à des solutions technologiques pour gérer l’ingérable croissance, canaliser l’étouffant trafic ou rendre plus efficiente la consommation d’énergie ; bref, ils misent sur la smart city. Des questions politiques et sociales s’en retrouvent réduites à des simples déficits d’informations – et sont externalisés à des spécialistes privés. (Pensée jusqu’au bout, cette approche technocratique, remise à la mode par la Silicon Valley, débouche sur la question : À quoi servent alors les politiciens ?)
Lorsque, il y a quelques mois, le Luxemburger Wort s’était mis à la recherche de « pistes » pour la smart city, il donna la parole au responsable luxembourgeois de Cicsco Systems : « Imaginez par exemple que si l’utilisateur autorise sa géolocalisation, il sache qu’il y a un resto tout près de lui où il y a encore des places et où, s’il vient à telle heure, il peut obtenir une réduction ou l’apéritif. Imaginez qu’à partir de la géolocalisation, un cinéma puisse envoyer un message un quart d’heure avant le début du film pour dire qu’il y a encore des places libres et qu’il effectue une réduction de quarante pour cent. » L’imagination au pouvoir ? La smart city finira-t-elle en spam city ?