Pour une protection sociale des données personnelles

Cet article a été co-écrit par Lionel Maurel et Laura Aufrère, doctorante au Centre d’Économie de Paris Nord (UMR CNRS 7234-CEPN). Université Paris 13 – Sorbonne Paris Cité.

Ce texte est placé sous licence Creative Commons CC-BY-SA 4.0.

Pour un meilleur confort de lecture, vous pouvez télécharger l’article en pdf ou en ePub.

Table des matières

Introduction

I Continuum des pratiques numériques et enjeux de différenciation

  1. Continuité et consentement
  2. Différenciation des régimes de travail et de vie privée : un enjeu de négociation collective

II De la difficulté à faire émerger de l’action collective à partir du cadre juridique actuel

  1. Les ambiguïtés du consentement individuel et du privacy by design
  2. Rétablir le lien entre données privées et intérêt général

III Mobiliser un nouvel imaginaire pour construire un cadre de négociation collective sur les données

  1. Dé-judiciariser la défense des intérêts collectifs
  2. Repenser les CGU sur le modèle des conventions collectives
  3. D’une portabilité individuelle à une portabilité citoyenne

IV Enjeux d’émancipation et construction de nouveaux droits

  1. Requalifier ou non les activités en emplois et en activités professionnelles
  2. Protéger des espaces de vie privée dans le contexte spécifique du 21ème siècle
  3. Construire des espaces et des pratiques tournés vers l’émancipation

Introduction

Le 28 janvier dernier avait lieu le « Privacy Day » ou Journée européenne de la protection des données, un événement lancé en 2006 par le Conseil de l’Europe pour sensibiliser aux enjeux autour de la vie privée. Cette célébration s’est inscrite cette année dans une riche actualité, avec notamment l’examen par le parlement français d’une loi visant à mettre en conformité le cadre législatif national avec le Règlement Général de Protection des Données (RGPD). La Commission nationale de l’informatique et des libertés (CNIL) fêtait par ailleurs ses 40 ans, alors que la problématique de la protection de la vie privée et des données personnelles n’a sans doute jamais été aussi présente dans le débat public.

Pourtant, le sens même que l’on peut donner à l’expression « protection des données » (Data Protection) n’est ni évident, ni consensuel. C’est ce qu’ont montré deux publications parues la même semaine, questionnant les fondements de la philosophie « personnaliste » sur laquelle est basé actuellement le régime de protection des données en France et en Europe. Une première contestation est venue du Think Tank Génération libre par le biais d’un rapport défendant la thèse de la « patrimonalisation » des données personnelles. L’idée consiste à créer un droit de propriété privée sur les données personnelles de manière à ce que les individus puissent négocier leur utilisation sur une base contractuelle avec les plateformes, en se faisant éventuellement rémunérer en contrepartie. Ce point de vue sous-entend que c’est le marché qui doit réguler l’utilisation des données et que la vie privée sera plus efficacement protégée par ce biais qu’en la défendant comme un droit fondamental de la personne.

A l’opposé de cette vision ultra-libérale, Antonio Casilli et Paola Tubaro ont publié une tribune dans les colonnes du Monde, formulant une critique d’ordre « social » du système actuel. Intitulé Notre vie privée : un concept négociable, ce texte invite lui aussi à un renversement profond de perspective résumé par la phrase suivante : « la défense de nos informations personnelles ne doit pas exclure celle des droits des travailleurs de la donnée ». Les deux auteurs estiment en effet que les données personnelles sont moins « extraites » par les plateformes que « produites » ou « co-produites » par les individus dans leur interaction avec les infrastructures mises en place par ces acteurs. Cette activité productive constitue l’essence même de ce phénomène aux multiples visages qu’est le Digital Labor, et à ce titre, Antonio Casilli et Paola Tubaro appellent à une extension des missions de la CNIL, tout en rejetant au passage la thèse de la patrimonialité de Génération Libre :

Pour corriger les distorsions et les abus provoqués par cette situation, la solution consiste à élargir le domaine d’action des autorités de régulation des données comme la CNIL. Il s’agit non seulement de s’intéresser aux architectures techniques des plates-formes qui permettent l’extraction et la circulation des données personnelles, mais aussi de créer les conditions pour que le travail de production et d’enrichissement des données (autant de la part des services de microtravail que des usagers de plates-formes généralistes comme Instagram ou Google) reste respectueux des droits des personnes et du droit du travail. Le défi qui attend la CNIL est de devenir non pas un gardien de la propriété sur les données, mais un défenseur des droits des travailleurs de la donnée.

Cette invocation des « droits des travailleurs de la donnée » a selon nous l’immense mérite de replacer la question de la protection des données sur le terrain du droit social. Ce point de vue n’est pas absolument nouveau, car le droit social est déjà convoqué dans les discussions suscitées par « l’ubérisation » et la manière dont des plateformes comme Deliveroo, Uber ou Amazon Mecanical Turk font basculer les individus dans des situations « d’infra-emploi » (Bernard Friot) les privant des protections liées au salariat. Antonio Casilli et Paola Tubaro nous invitent cependant à aller plus loin et à considérer l’ensemble des relations entre les utilisateurs et les plateformes comme un « rapport social de production » que le droit doit saisir en tant que tel. S’il y a un rapport de production assimilable à du travail, alors il faut s’assurer de l’extension des régimes de protection du travail, y compris à ceux qui, de prime abord, seraient présentés comme de simples usagers ou consommateurs.

Ce changement de perspective nous paraît extrêmement intéressant, à condition de bien en percevoir la portée et d’en tirer toutes les conséquences. Il paraît en effet douteux que la CNIL puisse à elle seule assurer une défense des droits des travailleurs de la donnée, même si son champ d’action était élargi. Non pas que cette autorité soit dépassée, comme certains le laissent entendre, mais parce que la protection des travailleurs passe traditionnellement par des mécanismes juridiques et institutionnels d’une nature bien différente de la régulation assurée aujourd’hui par la CNIL. Historiquement, c’est un système de droits et la protection sociale qui se sont progressivement mis en place pour protéger les individus dans le cadre des relations asymétriques de travail. Il convient de ne pas participer à leur affaiblissement en morcelant les espaces de régulation, mais bien de faire valoir les droits sociaux existants. Nous soutenons donc que si les données sont produites dans le cadre d’activités assimilables à de nouvelles formes de travail, alors ce sont des mécanismes de protection sociale enracinés dans le droit social qu’il convient de déployer pour garantir les droits des personnes.

Afin d’éviter tout malentendu, il faut d’emblée préciser que par « protection sociale », nous n’entendons pas uniquement la sécurité sociale ou l’assurance-maladie, auxquelles on a parfois tendance à la réduire aujourd’hui. Conformément à son histoire, il faut concevoir la protection sociale en son sens le plus large, tel que le fait par exemple cette note publiée par le groupe de travail Protection sociale, ESS et Communs de la Coop des Communs :

La protection sociale est une institution centrale, un macro-système de médiations (relations sociales, juridiques et politiques) entre la sphère domestique, l’économie et la politique […]. Elle est fondée elle-même sur de multiples institutions (régime politique et de citoyenneté, droit de la famille, fiscalité et système de cotisations sociales, assurances sociales, système d’assistance sociale, travail, salariat, travail indépendant…).

[…] En protégeant les individus et les familles, la protection sociale protège en même temps la société elle-même contre les risques de désintégration qui se concrétisent chaque fois que les forces marchandes dominent toutes les sphères de la vie sociale. « Protéger » dans ce double sens, c’est permettre à l’individu de vivre en dignité en dépit de tous les aléas de la vie, et à la société de résister aux forces de désintégration qui la menacent en permanence.

Se référer à ce riche héritage juridique, institutionnel et social permettrait selon nous de dépasser certaines des insuffisances auxquelles la défense des données personnelles et de la vie privée se heurte encore trop souvent aujourd’hui. C’est notamment en suivant une telle piste qu’il nous paraît possible de réconcilier les dimensions individuelle et collective en matière de protection des données. Le système actuel reste en effet imprégné d’un individualisme méthodologique qui n’envisage la personne que de manière isolée et indépendamment des rapports sociaux dans laquelle la vie privée est toujours étroitement enchâssée.

A ce titre, la tribune parue dans Le Monde reprend une formule déjà énoncée par Antonio Casilli en 2014 dans un texte intitulé Contre l’hypothèse de la fin de la vie privée :

La vie privée a cessé d’être un droit individuel pour devenir une négociation collective […] La négociation de la vie privée se vit avant tout comme une négociation collective, conflictuelle et itérative, visant à adapter les règles et les termes d’un service aux besoins de ses utilisateurs. Le processus de détermination des conditions d’usage est jalonné par une série de batailles et de controverses que les acteurs publics ont encore du mal à encadrer et résoudre – mais que les propriétaires de grandes exploitations de données et les concepteurs de plateformes de socialisation en ligne sont encore loin d’avoir gagnées.

Nous partageons ce constat, mais il ne s’agit justement plus aujourd’hui d’en rester au stade de la simple constatation : cette assertion doit devenir un mot d’ordre à l’aune duquel la protection des données doit être repensée. Si la défense du droit à la vie privée dépend aujourd’hui avant tout d’une négociation collective, alors il convient de nous doter collectivement des moyens les plus efficaces possibles pour engager, conduire et peser dans ces négociations, dont les termes restent aujourd’hui dictés par le cadre profondément déséquilibré imposé par les plateformes. Un simple appel à la CNIL sera là encore sans doute insuffisant pour changer en profondeur cette situation. C’est en réinventant la protection des données sous l’angle de la protection sociale qu’il nous paraît possible de faire émerger de nouveaux moyens d’action collective qui sortiraient l’individu de l’isolement dans lequel il reste trop souvent enfermé lorsqu’il s’agit de vie privée, que ce soit face aux plateformes ou à l’Etat.

Car la protection sociale renvoie plus fondamentalement à la question des solidarités et celles-ci ne peuvent être uniquement une affaire d’Etat. Si négociation collective autour de la vie privée il y a, celle-ci doit être le fait d’une société civile collectivement organisée, sans quoi les individus ne pourront échapper aux rapports structurellement inégalitaires auxquels les soumettent les plateformes, et la négociation ne pourra conduire qu’à la soumission collective. L’histoire de la protection sociale nous fournit des exemples de formes de socialisation, au-delà de la sphère du travail, qui permettent de gérer collectivement des institutions mettant en œuvre des droits sociaux, ancrés dans les droits humains (santé, éducation, etc.). Ces formes de socialisation pourraient pareillement être mobilisées pour mettre en œuvre les droits et protéger les usagers des plateformes et les « travailleurs de la donnée ».

C’est ce fil que nous souhaitons suivre dans cet article qui vise à explorer les différentes dimensions d’une protection des données repensée comme une protection sociale. Comme le souligne la démonstration d’Antonio Casilli et Paola Tubaro, il convient de partir de l’idée qu’il existe un continuum de pratiques entre usagers et travailleurs des plateformes. Cette continuité justifie la construction de nouveaux droits et un nouveau volet de la protection sociale, pensé dans une solidarité entre usagers et travailleurs. Cette solidarité implique dans un premier temps de faire valoir les distinctions sociales et juridiques qui composent respectivement ces deux statuts, en opérant un travail de clarification des pratiques et leur condition d’exercice. Ce travail de clarification doit faire l’objet d’un débat citoyen, car s’il intègre des questions techniques, il recouvre avant tout des enjeux de choix de société.

I Continuum des pratiques numériques et enjeux de différenciation

Il nous semble nécessaire d’expliciter en préambule ce que nous percevons des liens qui se sont tissés entre données personnelles, vie privée, usages et travail numériques. Ces liens sont remarquables et inédits à plusieurs égards : leur volume, la précision des informations que produisent nos usages, et leurs méthodes de production.

Un premier phénomène inédit surgit dans le fait que nous ne soyons pas toujours consciemment parties prenantes d’une certaine expression de notre identité numérique à travers l’exploitation des données, qui émanent pourtant de nos propres pratiques numériques. Le second phénomène inédit, intrinsèquement lié au premier, c’est le degré d’opacité des mécanismes techniques et humains de production des données qui forgent cette identité. Ce qui nous échappe, c’est donc autant la perception (y compris physique) de nos traces et signaux numériques, que les processus de production (partant de l’exploitation de ces signaux et traces) qui forgent une donnée, et enfin leur exploitation ou utilisation sous la forme d’une expression explicite de nos identités et de nos activités.

Cette triple perte de contrôle justifie à notre sens que notre relation avec les plateformes soit considérée sous l’angle d’une présomption de subordination d’usage. Elle permettrait d’acter en droit les déséquilibres de fait qui caractérisent les forces en présence, entre la société civile, les collectifs d’usagers et les travailleurs numériques d’une part, et les plateformes lucratives d’autre part. Notion distincte de la subordination des rapports de production dans l’espace du travail, elle viendrait s’articuler à elle, opérant en droit un continuum de négociation.

En effet, il nous faut considérer en cohérence le rapport de force déséquilibré et le pouvoir exorbitant qu’exercent les forces économiques lucratives de marché sur les pratiques des travailleurs comme sur celles des usagers. La forme entrepreneuriale contemporaine est déjà identifiée, en droit du travail notamment, comme une entité économique et politique qui organise des formes de domination. La subordination juridique et économique est ainsi reconnue et traditionnellement associée au statut d’employé. Mais elle déborde aujourd’hui ce cadre pour s’exercer sur les consommateurs et les usagers, également saisis par une subordination d’usage. Celle-ci intègre une logique lucrative, en ce qu’elle transforme en valeur financière – et donc « financiarise » à proprement parler – des rapports humains jusqu’alors vécus hors des sphères de production de marché orientées vers le profit.

La présomption de subordination permettrait donc de faire correspondre au continuum des pratiques d’usage et de travail, une continuité de droits, puisant pour partie leur légitimité dans le caractère exorbitant et disproportionné des rapports d’usage et de production induits à la fois par la nature propriétaire et par l’objectif d’exploitation des plateformes lucratives de marché. Pour faire émerger ce concept de « subordination d’usage », il paraît possible de s’appuyer notamment sur les travaux d’Alain Supiot, qui propose depuis la fin des années 90 des moyens conceptuels pour identifier des formes de travail « au-delà de l’emploi ». Il propose en particulier de saisir les « nouveaux visages de la subordination » à partir du critère de la « dépendance économique » qui viendrait compléter celui de la subordination stricto sensu caractérisant aujourd’hui le contrat de travail. Dans cette vision, le rapport de production est bien conçu comme incluant d’emblée un rapport de subordination face à la figure de l’entreprise capitaliste, intégrant la notion de déséquilibre exorbitant dans les rapports sociaux, que le droit et la négociation doivent participer à « civiliser » :

Le droit civil et le droit du travail ont finalement la même raison d’être, qui est de « civiliser » les relations sociales, c’est-à-dire d’y substituer des rapports de droit aux rapports de force, et d’assurer à tous le statut de sujets de droit libres et égaux.

1) Continuité et consentement

Depuis l’utilisateur de Facebook jusqu’au chauffeur Uber, au-delà d’une certaine conformité des gestes entre les deux catégories d’acteurs -usager et travailleur – (pensons aux fermes à clic), c’est bien également la situation de subordination des individus qui participe à une continuité des pratiques. Cette continuité entre ces deux régimes d’action est liée au rapport de production (des données) que nous entretenons avec les plateformes, rapport qui vient se fondre dans la problématique de la régulation du travail. Un des enjeux est de faire émerger une identification claire du travail numérique, dans un moment historique d’exploitation des travailleurs les plus fragiles et des pratiques prédatrices de délocalisation de la main d’œuvre. La dimension internationale de l’organisation des rapports sociaux numériques s’inscrit donc également dans des rapports de production « globalisés ». Les firmes jouent dans ce domaine, comme dans bien d’autres, le jeu du law shopping, s’appuyant sur des législations et des situations de dominations économiques que l’on connaît.

Compte tenu de l’existence de fait d’un rapport de production, et des conditions de subordination du travail et des usages qui lui sont attachés, se pose de façon centrale la question des conditions de consentement des individus à participer à l’effort de production. Cette dimension mérite à notre sens, un commentaire et une discussion approfondie.

En effet c’est l’encastrement des traces numériques de nos comportements individuels dans des comportements collectifs, qui permet leur exploitation en tant que valeurs économiques. Ce qui appelle un premier commentaire : le consentement du point de vue de la gestion des données ne peut pas être uniquement individuel, dans la mesure où celles-ci incluent des informations sur nos relations sociales qui engagent des tiers (pensons par exemple aux carnets d’adresses qui constituent toujours les premières informations que les plateformes essaient de récupérer). D’autre part, le rappel de la dimension collective des relations de production mérite un effort d’explicitation : la reconfiguration de la vie privée sous l’influence des pratiques numériques importe dans l’espace privé la question du travail et du consentement à la participation à un effort de production.

Il y a donc un double enjeu à mieux saisir ces rapports sociaux de production : il s’agit d’identifier ou de faire émerger plus distinctement les régimes de travail présent dans les espaces de production numérique pour mieux les encadrer d’une part, et d’autre part d’envisager les limites que nous voulons leur fixer pour protéger la vie privée et son exploitation. La difficulté consiste à discuter simultanément des nouvelles frontières de la vie privée, autant que celles du travail. S’agit-il d’une réelle collision, ou de pouvoir discuter et identifier les zones de frottement et d’inter-pénétration, pour se doter d’outils collectifs de régulation ?

Comme l’ont montré les travaux dirigés par Philippe Ariès et George Duby sur l’Histoire de la vie privée, et notamment à travers la contribution d’Alain Corbin, la vie privée est toujours à saisir en tant que processus de construction historique et a connu depuis l’Antiquité des métamorphoses successives, étroitement dépendantes des rapports de production. La pénétration du travail numérique dans notre vie privée, au sens où il est saisi par les plateformes pour le transformer en valeur économique, interroge à la fois nos conceptions et nos imaginaires contemporains relatifs à la vie privée et au travail, en particulier le travail domestique. Ce dernier est au cœur des enjeux d’émancipation, dans la mesure où se manifeste une continuité des rapports de féodalité à travers le travail domestique prolétaire. Le bouleversement des frontières entre vie privée, travail domestique et emploi subordonné est dû pour partie à l’absence de consentement explicite et volontaire à la mise au travail de notre vie privée. Ce bouleversement ravive donc des rapports de féodalité qui sont masqués par les débats empreints d’un fatalisme ou d’un déterminisme technologique. Avant même de discuter du partage éventuel de la supposée valeur créée par l’exploitation des données, il s’agit sans doute de débattre et de délibérer collectivement autour de ce qui est bien une financiarisation de notre vie privée.

Car s’il existe un droit du travail, il existe tout autant un droit fondamental au repos et au temps libre, et un impératif de respect de la dignité des personnes. La volonté d’usage que traduisent nos gestes numériques dans la vie privée, l’environnement non professionnel dans lequel ils sont effectués, mais surtout l’absence de volonté explicite des personnes de participer à un effort de production enchâssé dans un système économique marchand lucratif, rendent la qualification de ces gestes numériques en « travail » problématique. Car il s’agit bien d’une captation dans un but d’exploitation des gestes d’usagers, sans pour autant que les individus s’identifient en situation de travail. Il y a donc une tension entre le fait d’identifier plus clairement le travail caché subordonné, et en même temps lui fixer une limite qui permettrait de rediscuter des conditions d’usage des services numériques afin d’empêcher l’exploitation financière de gestes privés dépourvus d’une intention de production. Que les espaces, les gestes, et les interactions humaines pensés comme des liens et des espaces intimes, privés et non productifs, puissent être utilisés comme des sources de valeur financière souligne l’extrême violence de la financiarisation de nos sociétés.

2) Différenciation des régimes de travail et de vie privée : un enjeu de négociation collective

Si ce qui nous échappe, ce sont simultanément les gestes de production et l’expression de soi, non consentis, alors il y a violence tant par la pénétration de notre vie privée par des acteurs extérieurs, qui viennent collecter pour les exploiter les traces de cette vie, que dans le risque de voir projeter cette intimité sur la place publique, potentiellement exposée au-dehors ce que nous pensions déposer au-dedans du privé. Il s’agit d’une violence technique, économique et politique qui demande à ouvrir une conversation collective sur la façon dont nous voulons faire société.

Une patrimonialisation des données personnelles, telle qu’elle est proposée par Génération libre, ne constituerait pas un moyen d’ouvrir cette discussion collective, mais conduirait au contraire à y renoncer définitivement. En effet, la réparation de cette violence par la réaffirmation ou la revendication d’une propriété privée négociable sur un marché réduit la question politique du vivre ensemble à l’abandon total de toute volonté collective de débat démocratique – ici remplacé par la négociation sur le marché. C’est que souligne de façon particulièrement juste Irénée Régnaud, auteur du blog Mais où va le web, dans son billet « Revendre ses données « personnelles », la fausse bonne idée ». L’auteur explicite efficacement la logique politique libérale de financiarisation que sous-tend la négociation entre individus et plateformes, notamment en faisant miroiter la possibilité d’un revenu complémentaire pour l’exploitation des données :

Accepter des micro-rémunérations corrélées aux données personnelles, c’est graver dans le marbre que les discussions collectives deviennent des petites négociations individuelles […] Ce micro-revenu est d’ailleurs en parfaite cohérence avec la promotion d’un revenu universel tel le que propose Génération Libre (attention, il y a plein de revenus universels différents) façon néo-libérale : on vous donne le minimum pour ne pas trop vous ennuyer dans ce nouveau monde plein de machines (dont personne n’a discuté au préalable, faute au déterminisme technologique, mais c’est encore un autre sujet). Ce qui nous laisse avec l’amère sensation d’avoir gagné quelque chose, alors que c’est justement le projet des libertariens. L’argumentaire de Génération Libre est subtil puisqu’il explicite un certain nombre de ces problèmes (surveillance de masse, ciblage publicitaire abusif, croisements de données non choisis) tout en prétendant qu’à partir du moment où l’on se ferait payer pour ses données, on deviendrait conscient – et consentant – quant à l’usage qui pourra en être fait…).[…]

D’une part, revendre n’est pas maîtriser, c’est revendre (il y a fort à parier que le prix de vente soit le seul critère qui compte quand on devra cliquer sur « accepter » après avoir lu les conditions de vente du courtier). D’autre part, les conditions générales d’utilisation ne risquent pas de disparaître du jour au lendemain (il faut actuellement des mois pour les lire, il en sera toujours ainsi). Responsabiliser l’individu » ne le rend malheureusement pas automatiquement responsable, ça ne lui donne pas plus de temps pour lire ni pour s’enquérir des logiques géopolitiques à l’œuvre dans ces luttes entre Titans, Etats d’un côté (encore un peu démocratique, quoi qu’on en pense) et géants du numérique de l’autre (euh…).

Par rapport à cette approche en termes de propriété des données, le concept de Digital Labor possède indéniablement un puissant pouvoir critique, en permettant d’identifier et de dénoncer des situations d’exploitation. Mais en même temps, la notion est à double tranchant, car subsumer la quasi-totalité de nos activités numériques sous la notion de « travail » revient à admettre que des pans entiers de nos vies intimes et sociales sont « aspirés » dans la sphère économique de marché sous l’effet des technologies numériques. Or il importe selon nous autant, sinon davantage, de « protéger les droits des travailleurs de la donnée » que de protéger le droit, plus fondamental encore, de ne pas devenir malgré nous de tels travailleurs de la donnée.

La défense de la dignité et des libertés des personnes est centrale dans le fait de distinguer espace privé et espace de production. De fait, une part de nos gestes privés et intimes, exprimés dans des espaces numériques qui revêtent l’apparence de la sphère privée, sont accaparés dans un objectif de profit. De plus, les industries travaillent activement à influencer l’environnement et nos comportements numériques pour mieux capter la valeur issue des entrelacements de nos liens sociaux qui forment le « graphe social », reflet numérique de notre vie collective. Nous n’en avons qu’une vision très partielle en tant qu’usager, tandis qu’il est l’enjeu principal de fonctionnement que cherchent à capter les grandes plateformes. Elles participent ainsi à la fabrication de ces réseaux, incitent et influencent nos comportements individuels et collectifs pour s’assurer qu’ils participent à une production efficace de ce graphe.

Cette expression forcée, forgée hors de nous, « en deçà » de nos pratiques volontaires, par les données de notre vie privée et de notre intimité nous fait en même temps ressentir le risque d’un basculement, d’une absorption de cette expression de nous-même dans la sphère « publique » du marché lucratif. L’irruption et l’utilisation potentielle de ces données par les plateformes mobilisent donc potentiellement deux registres : l’indécence et l’obscène d’exposer le privé et l’intime en public ; et le registre de l’exploitation au sens d’une récupération, d’une extraction de notre vie privée.

Il est urgent de revendiquer collectivement une régulation efficace contre ces phénomènes d’exploitation, mais aussi le soutien et l’encouragement au développement d’outils numériques émancipateurs. Car comme le souligne Irénée Régnauld, cette exploitation et cette violence ne sont pas des fatalités technologiques :

Ajoutons à cela que de nombreux services en ligne (moteurs de recherche comme Qwant, réseaux sociaux comme Whaller) fonctionnent parfaitement sans collecter abusivement vos données – donc pas la peine de crier à la mort de l’innovation, il sera toujours possible d’innover même sans collecter toutes les données de tout le monde. Tout comme le font de nombreux services utilisant l’intelligence artificielle (voir par exemple : no, you don’t need personal data for personalization). Attention, nous ne disons pas que les données ne servent à rien (elles peuvent même être très utiles dans des tas de domaines, comme la médecine par exemple – doit-on la laisser à Google dans ce cas ? avec quelles garanties ?) mais que leur collecte démesurée repose aussi sur un dogme (et que la stratégie de revente des données personnelles n’est peut-être qu’une excuse pour aller un peu plus loin, par exemple en vous payant pour collecter votre génome, qui sait).

Il s’agit donc d’une part d’appréhender la vie privée dans sa dimension numérique en dépassant l’enjeu technique de la production des données pour reconsidérer la problématique comme un moment de construction historique de la notion de vie privée, attaché aux droits humains et à la dignité des personnes. Le débat citoyen s’impose alors comme une continuité cohérente des droits citoyens et des droits humains garantis collectivement, qui régulent déjà l’espace privé.

D’autre part, il s’agit de replacer le droit fondamental à une protection sociale pour les travailleurs sur les nouveaux régimes de travail numérique, afin de le rendre opératoire et opposable, en s’appuyant sur un effort de clarification d’un régime de travail décent. Cette question n’est pas propre aux travailleurs du numérique, mais elle recouvre ici des questions techniques spécifiques qui doivent pouvoir être soulevées. Historiquement, le droit du travail a d’ailleurs su intégrer une protection de cette dimension intime, à travers notamment les questions d’hygiène et de sécurité, qui touchent au corps même des travailleurs. La jurisprudence reconnaît aussi que les travailleurs ne sont pas privés de leur droit à la vie privée, y compris sur leur lieu de travail (et spécialement dans leur usage des outils numériques, comme les messageries ou les réseaux sociaux). La diminution du temps de travail et les congés renvoient enfin à la possibilité de s’extraire du rapport de production et cette protection était conçue pour autoriser le développement d’une sphère individuelle extérieure à la production.

Il s’agit également d’envisager le retour en force, dont la légitimité semble étonnamment tout acquise, de tâches et de formes d’emploi qui n’ont plus rien du métier, compris comme un ensemble de savoir-faire partagés par un collectif de travailleurs qui permet d’avoir une certaine prise sur la définition du contenu (et le sens) de son travail, pour reprendre les mots d’Alain Supiot. Le retour de ces formes d’exploitation autour du travail domestique prolétaire (de marché) nous amène aux frontières du travail décent, tel que défini par exemple par l’Organisation Internationale du Travail :

Le travail décent résume les aspirations des êtres humains au travail. Il regroupe l’accès à un travail productif et convenablement rémunéré, la sécurité sur le lieu de travail et la protection sociale pour les familles, de meilleures perspectives de développement personnel et d’insertion sociale, la liberté pour les individus d’exprimer leurs revendications, de s’organiser et de participer aux décisions qui affectent leur vie, et l’égalité des chances et de traitement pour tous, hommes et femmes.

Que reste-t-il des aspirations et du sens investi collectivement dans le travail lorsque l’on exerce des « métiers » de tâcherons développés par les industries numériques ? Au-delà des déséquilibres économiques, c’est la dignité des personnes qui est à protéger face au retour des modèles d’exploitation féodaux. De même, il apparaît combien notre conception du travail sous-tend nos conceptions de la société dans son ensemble, et les perspectives de progrès social et de progrès humain partagé qu’il nous revient de discuter collectivement.

Compléter l’action de protection de la vie privée en l’articulant avec les enjeux de respect du droit du travail et la protection des travailleurs pourrait permettre d’enrichir le débat en réintroduisant les notions de consentement et d’intentionnalité, mais aussi d’intimité, associés à la notion de vie privée moderne, à réencastrer dans nos comportements au sein des plateformes. Relier l’exploitation des données et de la dimension potentiellement intime qu’elle recouvre, avec la question centrale d’un régime de travail décent des travailleurs professionnels, pourrait permettre de poser plus distinctement l’enjeu de rapports éthiques numériques, entre usagers, consommateurs et travailleurs, tels qu’ils sont discutés au sein des autres espaces de production (industrie du textile, agro-alimentaire, filières de production et de commerce éthique notamment).

Il s’agit au fond que dans sa vie numérique, l’individu puisse toujours savoir clairement qu’il est engagé dans un rapport de production ; que s’il décide d’y rester, il puisse bénéficier d’un ensemble de protections traditionnellement associées au travail et qu’il puisse toujours choisir de ne pas entrer dans ce rapport de production ou d’en sortir si telle est sa volonté. C’est sur ces éléments que doit porter la négociation collective sur les données décrite par Antonio Casilli et Paola Tubaro.

II De la difficulté à faire émerger l’action collective à partir du cadre juridique actuel

Si l’enjeu consiste à faire émerger des formes institutionnelles pour accueillir et organiser la négociation collective sur les données, force est de constater qu’il sera difficile d’y parvenir en restant dans le cadre juridique actuel, car celui-ci demeure largement surdéterminé par un paradigme individualiste qui fait de l’individu et de ses choix le centre de gravité de la régulation des données. Dépasser cette approche nécessite de se donner les moyens de refaire le lien entre l’individu isolé autour duquel s’organise le droit à la protection des données et la figure du citoyen en tant qu’agent capable de participer à des discussions collectives.

1) Les ambiguïtés du consentement individuel et du privacy by design

De manière presque provocatrice, Antonio Casilli et Paola Tubaro affirment dans leur tribune qu’« il n’y a rien de plus collectif qu’une donnée personnelle. » Ce point de vue a longtemps paru iconoclaste par rapport à la tradition « personnaliste » qui domine la doctrine en France, mais de plus en plus d’analyses convergent aujourd’hui pour critiquer la manière dont le droit appréhende « les informations à caractère personnel ». Depuis la loi de 1978, celles-ci sont saisies à travers leur capacité à identifier les individus et c’est exclusivement à ce titre que ceux-ci se voient attribuer par la loi des droits pour en contrôler la collecte et l’utilisation.

Or les données personnelles sont bien toujours également des « données sociales », parce que la vie privée elle-même est toujours enchâssée dans un tissu de relations sociales (amicales, familiales, professionnelles, territoriales, citoyennes, etc.). L’interconnexion des données, via les outils numériques, constitue par ailleurs un préalable indispensable à leur valorisation, y compris financière, comme l’explique bien Silvère Mercier :

Il nous faut comprendre la différence essentielle entre les données d’un individu et le graphe qui est exploité. Facebook et Google n’ont que faire des données prises séparément, c’est pourquoi le fait de permettre à l’utilisateur de télécharger ses données est tout sauf une solution. Non ce qui est décisif, c’est le graphe, le croisement de ces données, les relations entre elles […]

Il y a donc d’emblée une double dimension collective caractéristique de nos données « personnelles », qui s’exprime au sens d’un usage du monde « en lien » dans nos pratiques numériques, de la connexion et de la mise en relation – autant que du point de vue des rapports de production qui sont nécessaires à l’existence et l’exploitation des données. Ces deux répertoires d’actions numériques sont difficiles à distinguer précisément car l’approche centrée sur « l’émission » de données est marquée par une grande continuité des effets, sinon des pratiques individuelles et collectives.

Le droit des données personnelles reste aujourd’hui largement « aveugle » à cette double dimension collective et pour la chercheuse Antoinette Rouvroy, cette construction individualiste du statut des données est précisément ce qui entraîne aujourd’hui une « inadéquation des régimes de protection » :

Le défi qui serait le nôtre aujourd’hui, relativement à la protection des données, pourrait donc s’énoncer ainsi : comment tenir compte, de la nature relationnelle, et donc aussi collective, à la fois de la donnée (une donnée n’est jamais que la transcription numérique d’une relation entre un individu son milieu, laquelle n’acquiert d’utilité, dans le contexte d’analyses de type big data, que mise en rapport avec des données « émises » par les comportements d’autres individus), et de ce qui mérite d’être protégé, y compris à travers la protection des données ?

Le paradigme individualiste ici à l’œuvre a des conséquences juridiques importantes, car il tend à « surdéterminer » les moyens de protection mis à la disposition de l’individu. La loi Informatique et Libertés du 6 janvier 1978 est souvent présentée comme enracinée dans une approche « personnaliste », mais dans les faits, elle avait plutôt pour objectif initial d’instaurer un équilibre sous la forme d’un « faisceau de droits d’usage » répartis entre les individus, les entreprises et les autorités publiques. Avec le temps, le régime de protection des données a néanmoins eu tendance à « s’individualiser » en donnant une place de plus en plus centrale au « consentement » de la personne. Cette approche culmine à présent avec le RGPD qui fait du « consentement libre et éclairé » un principe à portée générale et la pierre angulaire de la protection au nom du droit à « l’auto-détermination informationnelle » des individus.

Cette évolution est souvent présentée comme protectrice pour l’individu, mais il y aurait un lien à faire entre ce recentrement sur le consentement des personnes et la manière dont les dernières réformes du droit du travail ont renversé le « principe de faveur » qui donnait une prééminence aux normes supérieures (lois, accords de branche, conventions collectives) sur les accords d’entreprises et le contrat de travail. Pour Alain Supiot, ce poids donné à la plus petite échelle de négociation, et donc au niveau le moins collectif du consentement, dans la relation foncièrement inégalitaire qui caractérise les relations de travail, conduit au rétablissement des liens d’allégeance et des relations de féodalité caractéristiques de la période médiévale. Il y a lieu de se demander si le poids accordé au consentement individuel en matière de protection des données n’est pas la traduction d’un processus similaire de « vassalisation » des utilisateurs de plateformes.

Miser sur le consentement revient à faire reposer la régulation du système sur des choix que les individus devront prendre dans une situation d’isolement et de déséquilibre structurel face aux plateformes. C’est ce qu’exprime Valérie Peugeot dans un billet paru récemment sur le site de l’association Vecam :

[…] l’un des reproches que l’on peut faire au RGPD est son approche centrée sur l’individu. Le consentement, qui était déjà très présent dans le droit de la protection des données personnelles, notamment pour l’accès aux données sensibles, devient véritablement la clé de voûte de l’édifice juridique. Un consentement, supposé libre et éclairé, mais dont on sait à quel point il peut bien souvent n’être qu’éclairé à la chandelle, voire plongé dans le noir des CGU, les conditions générales d’usages, incompréhensibles pour le commun des citoyens. Un consentement que l’on doit accorder dans la solitude du dialogue avec l’écran de son ordinateur ou son téléphone mobile.

Pour contrebalancer ce biais, le législateur européen a notamment introduit dans le règlement l’obligation de « protection de la vie privée dès la conception » (privacy by design) qui doit amener les organisations, publiques comme privées, à penser leurs choix technologiques et organisationnels, le parcours de l’utilisateur dans le service, de telle manière que celui-ci puisse comprendre quels sont les choix qui s’offrent à lui. Reste à voir comment concrètement ces injonctions se traduiront et jusqu’à quel point elles permettront une forme de montée en compétence de l’utilisateur sur ses droits numériques.

Le « privacy by design » permettrait de garantir que la personne exerce son consentement dans un cadre paramétré de manière à garantir par défaut sa protection. Mais la comparaison entre le droit du travail et celui de la protection des données personnelles permet là encore de comprendre le caractère foncièrement ambigu de ce mécanisme. Avec l’érosion du principe de faveur, le droit social a été fragilisé parce qu’on permet à présent aux travailleurs de déroger aux conventions collectives ou à la loi par le biais d’un consentement qui s’exprime au moment de la formation du contrat de travail. De manière identique, le RGPD va certes imposer aux plateformes de paramétrer par défaut leurs outils et services dans un sens protecteur pour les utilisateurs, mais en modifiant ces paramètres, les individus pourront « déroger » à ce réglage initial, en participant par eux-mêmes à la fragilisation de leurs droits d’une manière d’autant plus redoutable qu’ils exprimeront à cette occasion leur consentement. On butte ici sur l’ambiguïté des pratiques numériques individuelles qui se retrouvent de fait enchâssées et conduites par des outils dessinés par et pour des fins économiques lucratives. Le privacy by design ne tient pas assez compte de l’environnement dans lequel se déploient les pratiques qui sont orchestrées par des plateformes orientées vers l’objectif d’un profit financier.

On ne peut dès lors que partager les analyses d’Antoinette Rouvroy qui reste sceptique face aux promesses de la généralisation du consentement individuel et du privacy by design, estimant que ces nouveaux mécanismes ne permettront pas d’enrayer une massification de l’usage des données personnelles que le RGPD chercherait en réalité davantage à accompagner qu’à freiner :

[…]il faut bien se rendre à l’évidence : ni le principe du consentement individuel au traitement des données personnelles, ni les systèmes les mieux intentionnés de « privacy by design » ne sont de nature à endiguer le tsunami de données. Au contraire, même, pourrait-on dire : les privacy enhancing technologies permettent d’intensifier encore la prolifération des données en la rendant « conforme » à l’état du droit positif dont on vient d’exposer l’incapacité à faire face aux défis nouveaux que posent les données massives. Et il est bien dans la logique du droit européen de favoriser – plutôt que de ralentir – la croissance et l’accélération des flux de données, favorables, dit-on partout, à l’innovation, notion absolument vague, élevée au statut de valeur finale.

2) Rétablir le lien entre données privées et intérêt général

Si l’on veut sortir de cette vision « atomiste » de la protection des données, il importe de reconstruire un lien entre la figure de l’individu souhaitant protéger sa vie privée et celle du citoyen capable de se mobiliser avec ses semblables pour défendre les droits humains fondamentaux. Pour ce faire, nous proposons un détour par la notion de « données d’intérêt général », qui avait été envisagée au moment du vote de la loi République numérique comme un moyen de reprendre du pouvoir sur les plateformes. S’appuyer sur cette notion peut s’avérer utile pour trouver un fondement à l’action collective sur les données, mais à condition d’en renverser complètement la signification.

Avec les données d’intérêt général, on songeait à donner à l’Etat une forme de pouvoir de « réquisition » de données détenues par des acteurs privés dans une série de secteurs stratégiques (santé, énergie, environnement, logement, etc.) ou pour faire face à des situations de crise. Ce concept a fait l’objet de nombreuses critiques et s’il a été maintenu dans la version finale du texte, ce n’est qu’au prix d’une profonde transformation, puisqu’il se réduit désormais à une simple obligation d’ouverture des données imposée aux personnes privées délégataires de service public. Peut-être valait-il mieux d’ailleurs que le concept original de données d’intérêt général soit abandonné par le législateur, car on aurait mis dans les mains de l’Etat un pouvoir très puissant, alors que ce dernier se comporte parfois comme un Leviathan tout aussi inquiétant que les grandes plateformes, comme l’a montré l’an dernier l’affaire du méga-fichier TES.

Néanmoins, il nous semble que le concept de « données d’intérêt général » mérite d’être conservé, à condition de l’investir d’un sens complètement nouveau. Le rôle central donné à l’Etat dans la détermination de ce que seraient des données d’intérêt général vient du fait que cette notion a été forgée en s’inspirant de l’expropriation pour cause d’utilité publique. Mais on pourrait considérer qu’il ne s’agit pas de données dont l’Etat ou une autorité publique a décidé qu’elles étaient d’intérêt général, mais plutôt que toutes les données relatives aux individus doivent par nature être considérées comme des données d’intérêt général, et pas uniquement comme des données « privées ». Nos données personnelles sont produites dans le cadre de comportements qui, par ailleurs, sont identifiés du point de vue du droit comme appartenant à des espaces de la vie civile, là où nous exprimons notre citoyenneté et où nous vivons ensemble. On pourrait donc considérer que les traces numériques relèvent de l’intérêt général en tant que données « citoyennes ». Il y a bien lieu de parler à leur sujet d’intérêt général, parce que les plateformes ne devraient pas avoir le droit d’utiliser ces données sans nous demander un consentement individuellement, mais aussi et surtout, collectivement.

Dans son billet déjà cité plus haut, Irénée Régnauld utilise une analogie intéressante entre les données personnelles et le droit de vote en démocratie. Les votes considérés un par un ne « valent rien » et ne « changent rien », car c’est seulement l’ensemble des votes de tous citoyens qui fait sens et entraînent le résultat du scrutin. De la même manière, les données personnelles n’ont de sens et de valeur qu’une fois qu’elles sont reliées au sein du graphe social. Mais l’analogie entre le vote et les données se révèle surtout pertinente par le fait qu’à la dimension collective des données doit être attaché un pouvoir de décision collectif appartenant irréfragablement et solidairement à la collectivité, tout comme le droit de vote individuel est la conséquence de la souveraineté reconnue au groupe pour assurer la maîtrise de son destin. On retrouve une idée proche sous la plume de Zeynep Tufekci dans un article à propos de la vie privée publié par le New York Times  :

Data privacy is not like a consumer good, where you click “I accept” and all is well. Data privacy is more like air quality or safe drinking water, a public good that cannot be effectively regulated by trusting in the wisdom of millions of individual choices. A more collective response is needed.

Cette citation est intéressante, car si elle contient une référence à l’intérêt général (voire au bien commun, en raison de la polysémie du terme public good en anglais), elle introduit aussi une nuance entre la forme que devrait prendre cette « réponse collective » et le mécanisme du vote démocratique. Zeynep Tufekci souhaite qu’un pouvoir de décision collective sur les données émerge, mais pas qu’il s’exprime à la manière d’un scrutin agrégeant des « millions de choix individuels ». De la démocratie, on peut garder l’idée que c’est dans la figure des citoyens que doit s’enraciner la délibération collective sur les données, mais cette discussion ne devrait pas prendre la forme d’un vote ou d’un référendum. Il s’agit davantage d’ouvrir un espace de débat, au nom de l’intérêt collectif ou général, pour mettre en discussion les conditions d’utilisation des données et surtout le sens du processus de production qu’elles rendent possible.

Une « démocratie des données » conçue sur un mode purement arithmétique risquerait de nous faire retomber dans la « gouvernance par les nombres » dénoncée par Alain Supiot, avec ses dérives majoritaires et la faible capacitation pour les individus qui caractérise nos démocraties électives. On relèvera d’ailleurs qu’il y a quelques années, Facebook avait instauré des procédures de vote des utilisateurs destinées à valider les changements de Conditions Générales d’Utilisation (CGU). Les conditions de validité étaient fixées de telle manière (quorum de 30% minimum de vote des utilisateurs inscrits) que jamais la plateforme n’a été mise en situation de voir ses propositions rejetées et Facebook a finalement choisi de supprimer ce dispositif en 2012. Mais une certaine forme de « votation » continue à subsister sourdement dans le fonctionnement même de la plateforme, ne serait-ce que par l’effet de l’acceptation individuelle des CGU à l’inscription. Le RGPD va par ailleurs imposer un recueil du consentement des utilisateurs lors de la modification des CGU qui s’apparentera de facto à une sorte de vote. Pour parodier Ernest Renan, on pourrait donc dire que Facebook fonctionne grâce à un « plébiscite de tous les jours » et comme tous les plébiscites, celui-ci renforce sans doute davantage le pouvoir de la plateforme qu’il ne permet de le contrôler collectivement…

Si les données personnelles sont toujours des « données d’intérêt général » et si cette notion traduit l’idée que nous disposons d’un droit inaliénable à décider collectivement des conditions de leur usage, alors il nous faut inventer de nouvelles formes de discussions collectives, distinctes des figures imposées de la démocratie politique, en allant par exemple chercher de l’inspiration du côté des institutions de la démocratie sociale.

III Mobiliser un nouvel imaginaire pour construire un cadre de négociation collective sur les données

Repenser la protection des données sous la forme d’une « protection sociale » ouvrirait de nouvelles pistes pour imaginer des cadres collectifs d’action en faveur des droits humains fondamentaux. Il en est ainsi parce que la reconnexion des droits fondamentaux avec la gestion (et pas seulement la protection) des données implique la mise en œuvre d’institutions et d’espaces de négociation nécessaires à cette gestion collective, et qui font défaut actuellement.

1) Dé-judiciariser la défense des intérêts collectifs

Via un article de calimaq, publié le 7 février 2018

©© a-brest, article sous licence creative common info