Richard Stallman, le RGPD et les deux faces du consentement

Richard Stallman, figure emblématique du mouvement du logiciel libre, a publié cette semaine dans The Guardian une tribune dans laquelle il réagit au scandale Facebook/Cambridge Analytica, en élargissant la perspective à la question de la surveillance.

Richard Stallman, par Anders Brenna. CC-BY. Source : Wikimedia Commons.

Pour lui, le problème ne vient pas de Facebook en particulier, mais du fait que la législation sur la protection des données personnelles ne va pas assez loin : il ne s’agirait pas en effet de réguler simplement l’usage des données, mais de poser d’abord un principe général d’interdiction de la collecte des informations relatives aux individus.

La surveillance qui nous est imposée aujourd’hui excède largement celle qui avait cours en Union soviétique. Pour le salut de la liberté et de la démocratie, nous devons l’éliminer en grande partie. Il y a tellement de façons d’utiliser les données d’une manière préjudiciable pour les individus que la seule base de données sûre est celle qui n’en aura jamais collecté. C’est pourquoi, au lieu de l’approche européenne qui consiste seulement à réguler comment les données personnelles peuvent être utilisées (avec le Règlement Général de Protection des Données ou RGPD), je propose une loi qui interdirait aux systèmes de collecter les données personnelles.

La manière la plus efficace d’arriver à ce résultat, sans que cela puisse être contourné par un gouvernement, est de poser en principe qu’un système doit être construit de manière à ne pas collecter de données sur une personne. Le principe fondamental est qu’un système doit être conçu pour ne pas collecter les données s’il peut remplir ses fonctions principales sans recourir à celles-ci.

Stallman donne pour exemple le système de transport londonien qui utilise une carte magnétique (Oyster, l’équivalent du passe Navigo à Paris) identifiant les individus et collectant en permanence des informations détaillées sur leurs trajets. Pour lui, cette collecte est illégitime et ne devrait pas avoir lieu étant donné qu’il est possible d’implémenter la fonction de paiement de la carte magnétique tout en respectant l’anonymat des passagers et ce mode de fonctionnement devrait être proposé par défaut aux utilisateurs.

Or pour Stallman, le RGPD qui entrera en vigueur dans l’Union européenne le 25 mai prochain ne va pas assez loin dans la protection des données personnelles, car il n’empêchera pas ce type de collecte :

Les nouvelles règles du RGPD partent d’une bonne intention, mais elles ne vont pas assez loin. Elles n’apporteront pas un bénéfice significatif en termes de protection de la vie privée, car elles restent trop laxistes. Elles autorisent la collecte de n’importe quelle donnée du moment qu’elles sont utiles pour un système et il est toujours facile de justifier qu’une donnée est utile à quelque chose.

Protection par défaut vs Interdiction par défaut

Ce point de vue peut être discuté et on peut même se demander si Stallman n’est pas passé à côté de certains des apports importants du RGPD. Celui-ci ne repose certes pas en tant que tel sur un principe général d’interdiction de la collecte des données personnelles, mais il comporte un certain nombre de garanties qui vont déjà dans le sens de ce que Stallman propose.

Le RGPD repose en effet sur l’idée que la licéité du traitement d’une donnée à caractère personnelle est subordonnée au fait qu’il réponde à une finalité déterminée, au point que certains vont jusqu’à faire de cette notion la « pierre angulaire » du texte. Le responsable du traitement doit annoncer de manière transparente les raisons pour lesquelles il collecte et utilise des données à caractère personnel. De plus le RGPD comporte des règles complémentaires pour garantir que seules les données nécessaires pour atteindre cette finalité sont effectivement collectées. Il s’agit notamment du principe de protection par défaut (privacy by default) et du principe de minimisation des données.

L’article 25.2 du RGPD définit le principe de protection par défaut de la manière suivante :

Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité.

L’article 5.1.c) du RGPD définit quant à lui le principe de minimisation des données comme suit :

Les données à caractère personnel doivent être :

[…]

adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).

Richard Stallman est donc sans doute trop sévère vis-à-vis du RGPD dans la mesure où celui-ci contient bien des dispositions qui conditionnent la licéité des collectes de données à caractère personnel au respect d’un principe de proportionnalité au regard d’une finalité poursuivie. Il est certain de ce point de vue que ce qui s’est passé dans le cadre du scandale Facebook/Cambridge Analytica est illégal du point de vue du RGPD, car les individus dont les données ont été « aspirées » via une application n’ont pas été clairement informés de la finalité de cette collecte. Mais plus encore, il est quasiment certain que les conditions d’utilisation de Facebook, indépendamment du comportement frauduleux de Cambridge Analytica, étaient déjà en elles-mêmes non conformes aux règles du RGPD, notamment en ce qu’elles permettaient aux applications de recueillir non seulement les données d’une personne, mais aussi celles de tous ses « amis », sans finalité déterminée pour ce traitement.

La question que l’on peut se poser est de savoir si le principe de protection par défaut du RGPD (privacy by default) va aussi loin que l’interdiction par défaut que Stallman propose. Il dit bien qu’un système n’aurait le droit de collecter des données que si ces dernières sont strictement nécessaires à l’accomplissement de ses fonctionnalités. Est-ce que le RGPD de ce point de vue va interdire à la RATP d’identifier les utilisateurs des transports à Paris au motif qu’il y aurait une façon pour le passe Navigo de fonctionner tout en garantissant l’anonymat des personnes ? Le RGPD ne va sans doute pas aussi loin, car il n’emploie pas la notion de finalité exactement de cette manière. Le texte dit qu’un traitement réalisé sans finalité précise est illicite, alors que Stallman propose que la finalité d’un traitement soit en elle-même déclarée illicite s’il y a moyen de faire fonctionner un système sans collecter de données personnelles, ce qui n’est pas la même chose.

Néanmoins, il semble que le RGPD ne soit pas complètement fermé non plus à une telle interprétation et il n’est pas impossible qu’un service comme celui de la RATP doive revoir en profondeur ses principes de collecte et de traitement de données pour se mettre en conformité avec le RGPD. Mais c’est surtout la jurisprudence à venir qui sera déterminante, car c’est elle qui va fixer la portée exacte de principes comme celui de la protection par défaut des données (privacy by default). D’où l’importance des recours qui vont être lancés dans les premiers temps de l’application du texte, notamment les nouveaux recours collectifs, qui nous permettront de savoir si Stallman avait raison dans sa critique du RGPD ou si cette réglementation s’approchait au contraire de sa vision.

Les deux faces du consentement dans le RGPD

Un autre point important qui mérite discussion dans la tribune de Stallman est celui de la critique qu’il formule à propos de la place faite au consentement individuel dans le RGPD :

Le RGPD va plus loin en demandant aux utilisateurs (dans un certain nombre de cas) de donner leur consentement à la collecte des données, mais cela ne sera pas non plus d’une grande utilité. Les concepteurs de systèmes sont en effet passés maître dans l’art de « fabriquer du consentement » (pour reprendre l’expression de Noam Chomsky). La plupart des utilisateurs consentent aux conditions d’utilisation d’un service sans même les lire […] Lorsqu’un service est crucial pour la vie moderne, comme les bus ou les trains, les utilisateurs ignorent les conditions imposées, car refuser de donner leur consentement leur causera un tort trop important.

Pour rétablir le droit à la vie privée, nous devons arrêter la surveillance avant même qu’elle ne vienne demander notre consentement.

Jusqu’à une date très récente, j’aurais été entièrement d’accord avec cette critique, qui rejoint celle que je fais plus largement à l’encontre de « l’individualisme méthodologique » qui imprègne le droit de la protection des données personnelles. Mais des discussions que j’ai pu avoir avec les permanents de la Quadrature du Net m’ont montré qu’il est nécessaire de nuancer ce point de vue, parce que la manière dont le RGPD aborde la question du consentement est plus complexe qu’il n’y paraît.

Le consentement est en effet une notion comportant « deux faces », qui ne sont pas exactement superposables. Ce que critique Richard Stallman correspond à ce que l’on pourrait appeler la face « subjective » du consentement : l’individu reçoit une sorte de « délégation de pouvoir » au motif qu’il constituerait l’échelon de décision le plus pertinent pour la protection des données. Or si l’on prend le consentement sous cet angle, je ne peux qu’être d’accord avec Stallman étant donné que les individus accordent très fréquemment leur consentement aux systèmes de surveillance, avec à clé des conséquences toxiques pour eux-mêmes, mais aussi pour la communauté toute entière. L’affaire Cambridge Analytica le montre bien puisqu’il aura suffi de convaincre quelques dizaines de milliers d’utilisateurs de consentir à installer une application pour compromettre les données de 87 millions d’individus !

Néanmoins, on ne peut pas réduire le consentement à cette seule dimension « subjective » étant donné que la notion comporte aussi une face « objective », qui paraît bien plus intéressante en termes de protection des données. Dans cette conception, au lieu de donner à l’individu le pouvoir de fragiliser ses propres droits à travers son consentement, on va au contraire fixer des règles établissant qu’un consentement ne peut être valablement donné s’il a pour effet d’aboutir à une telle fragilisation des droits. C’est ce que permet la manière dont le consentement est défini dans le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Ce caractère « libre, spécifique, éclairé et univoque » du consentement constitue autant de critères « objectifs » qui vont permettre de déterminer des conditions dans lesquelles un individu ne pourra pas consentir valablement à un traitement de données. Il s’agit donc moins en réalité de donner à l’individu un pouvoir de consentir que de définir au contraire ce à quoi il ne peut pas consentir.

Le G29 a fixé des lignes directrices pour l’interprétation de la notion de consentement dans le RGPD qui vont encore renforcer cette dimension « objective ». Les autorités de régulation européennes considèrent notamment que pour être véritablement libre, le consentement doit être « inconditionné« , c’est-à-dire que la personne doit avoir un véritable choix et que l’absence de consentement ne doit pas avoir de conséquences négatives pour elle. Cela va mettre fin à ce que l’on peut appeler le « chantage au service » qui reste la règle dans l’environnement numérique, vu que les plateformes nous placent généralement face au choix d’accepter telles quelles leurs conditions d’utilisation ou de renoncer au service qu’elles proposent.

On a pu voir récemment une mise en œuvre convaincante de cette lecture « objective » de la notion de consentement dans la mise en demeure adressée à WhatsApp à propos du partage des données de ses utilisateurs avec Facebook. La CNIL a considéré que ce transfert était dépourvu de base légale, quand bien même l’application avait demandé à ses utilisateurs d’y consentir. Elle estimé que ce consentement ne pouvait être considéré comme « libre », du fait que « le seul moyen de s’opposer à la transmission des données […] est de désinstaller l’application. » Cela signifie donc que les individus ne pouvaient « objectivement » pas consentir à un tel traitement étant données les conditions dans lesquels ils étaient placés pour l’exprimer.

Réagissant à l’affaire Cambridge Analytica, Guillaume Desgens-Pasanau a très bien exprimé le déplacement des enjeux que cette affaire révèle en matière de protection des données :

Instaurée voici quatre décennies, la réglementation « Informatique et Libertés » visait à protéger les personnes contre le fichage abusif par les administrations ou les entreprises. Aujourd’hui, la question se pose différemment : comment protéger les utilisateurs contre eux-mêmes ?

Le consentement éclairé, une arme de destruction massive (des GAFAM) ?

La notion de consentement libre et éclairée du RGPD, telle qu’interprétée par le G29, possède un réel potentiel exploitable pour mettre fin au détournement du consentement individuel et à sa dégradation en un instrument de soumission collective. Un champ d’action s’ouvre notamment en justice pour aller constater la validité de conditions d’utilisation abusives et c’est d’ailleurs déjà ce que l’on voit se mettre en place avec les condamnations cinglantes qui récemment ont frappé Facebook en Allemagne et en Belgique, en dépit du consentement des utilisateurs à l’activation de certaines fonctionnalités. Mais ici encore, c’est la jurisprudence à venir qui va s’avérer déterminante pour savoir jusqu’à quel point cette lecture « objectiviste » du RGPD va s’imposer. En effet, la notion de consentement libre et éclairée peut devenir une véritable arme contre les GAFAM, surtout si elle est propulsée par des recours collectifs. Car comme le fait remarquer avec beaucoup de justesse Zeynep Tufekci, le mode de fonctionnement de ces plateformes est tellement opaque qu’il est possible que le consentement donné par leurs utilisateurs ne soit tout simplement jamais valable :

Une partie du problème avec cet idéal du consentement individuel éclairé est qu’il présuppose que les entreprises ont la possibilité de nous informer des risques auxquels nous consentons. Or ce n’est pas le cas.

On le voit d’ailleurs bien avec la litanie de scandales qui s’enchaînent suite à l’affaire Cambridge Analytica. On apprend que Facebook collecte les appels téléphoniques et SMS des utilisateurs ayant installé son application sur leurs smartphones ? La société répond que les utilisateurs y avaient consenti. L’application de rencontres Grindr transmet à des tiers le statut sérologique de ses utilisateurs ? Elle se défend en invoquant le fait qu’ils avaient librement consenti à lui fournir cette information. Et on voit d’ailleurs que Facebook essaie à présent de sortir de la spirale de critiques dans laquelle il s’enfonce en annonçant la mise en place d’une nouvelle interface intégrée de gestion des paramètres de confidentialité et une clarification de ces CGU qui permettrait à chacun d’exprimer son consentement « en connaissance de cause ».

Mais tout ceci ne vaut que dans une conception « subjectiviste » du consentement, alors que le RGPD va accentuer au contraire la dimension « objective » de la notion. Or il existe une chance que le mode de fonctionnement de plateformes comme Facebook soient déclarées par les tribunaux « structurellement » incompatibles avec l’exigence du recueil d’un consentement libre et éclairé. Si cette lecture l’emporte dans la jurisprudence, alors le souhait de Stallman serait exaucé, car cela revient à dire que nous serons en mesure « d’arrêter la surveillance avant même qu’elle ne vienne demander le consentement » ou plutôt que les plateformes dont le modèle économique est intrinsèquement basé sur la surveillance ne seraient plus en mesure de demander un consentement valide. Comme le capitalisme de surveillance repose tout entier sur la « servitude volontaire » des individus, cela revient à dire que le RGPD aurait le potentiel de détruire purement et simplement ce modèle.

Bien évidemment, les grands acteurs du numérique (mais aussi sans doute les États…) vont tout faire pour empêcher que cette lecture s’impose dans la jurisprudence. C’est la raison aussi pour laquelle ils manoeuvrent déjà dans le règlement ePrivacy pour faire en sorte que certains types de traitements (géolocalisation, profilage) échappent à l’obligation de recueillir le consentement des individus. Et le RGPD comporte lui-même de nombreuses failles qu’ils pourront essayer de faire jouer, notamment en invoquant d’autres fondements comme l’intérêt légitime ou l’exécution d’un contrat pour se passer du consentement individuel (mais surtout se protéger de son redoutable versant « objectif »).

Pour une interprétation « travailliste » du RGPD

Comme Richard Stallman, je m’étais montré jusqu’à présent très dubitatif vis-à-vis du RGPD, notamment à cause de la place qu’il réservait au consentement individuel. J’y voyais notamment une analogie avec le démantèlement progressif du droit du travail, où l’on a pu assister à l’adoption d’une succession de textes qui ont peu à peu inversé la « hiérarchie des normes ». Avec les lois El Khomri et les ordonnances Macron, le contrat de travail est devenu le centre de gravité du système, ce qui revient à dire que l’on laisse de plus en plus le consentement des individus participer à l’affaiblissement de leurs propres droits, alors même qu’ils doivent l’exprimer dans une situation déséquilibrée du point de vue du rapport de forces. Auparavant le droit du travail était au contraire organisé selon un « principe de faveur » en vertu duquel la loi fixait un certain nombre de principes auxquelles les normes inférieures (accords de branche, conventions collectives, accords d’entreprises, contrats de travail) ne pouvaient déroger que pour favoriser les droits des travailleurs et non les affaiblir.

Or je suis conduit à présent à nuancer mes réserves vis-à-vis du RGPD, car si c’est bien une interprétation « objectiviste » du consentement qui s’impose dans son application, alors on pourra considérer que le droit de la protection des données personnelles reposera sur une forme de « principe de faveur ». Les CGU des plateformes peuvent en effet être assimilées à des « conventions collectives » qui ne pourront déroger aux principes protecteurs du RGPD que pour respecter ou renforcer les droits des utilisateurs. Les acteurs numériques ne pourraient alors plus s’appuyer sur le consentement individuel pour faire valoir des clauses qui fragiliseraient les droits des individus. Comme le dit Alain Supiot, on retrouverait dans le droit des données personnelles ce qui constituait la fonction « civilisatrice » du droit du travail, à savoir la protection de la personne humaine lorsqu’elle est incluse dans des rapports de force déséquilibrées qui cherchent à la faire participer à son propre assujettissement.

Cette analogie entre le droit des données personnelles et le droit du travail est tout sauf fortuite, car comme l’affirme Antonio Casilli, les utilisateurs des plateformes sont intrinsèquement des « travailleurs de la donnée » et leur situation appelle des mécanismes de protection modelés selon les principes du droit social. De ce point de vue, une lecture « travailliste » » du RGPD n’est pas impossible, mais il faudra aller défendre en justice ce « principe de faveur » implicite que le texte porte en lui.

Nous sommes en effet en ce moment dans une phase d’intense « négociation collective », notamment vis-à-vis de Facebook et l’on voit se produire des convergences surprenantes. Par exemple, la plateforme de Zuckerberg est actuellement soumise à de fortes pressions pour étendre les mesures de protection du RGPD au reste du monde, à commencer par les Etats-Unis où la règlementation est beaucoup plus laxiste. Facebook souffle à ce sujet le chaud et le froid, annonçant d’abord que les mêmes réglages de confidentialité seraient appliqués partout dans le monde pour ensuite déclarer que la plateforme n’appliquera pas de manière générale et uniforme le RGPD en dehors l’Union Européenne.

Or si l’on conserve le prisme « travailliste » qui est le mien sur ces sujets, cet épisode fait furieusement penser à un mécanisme bien connu du droit du travail, à savoir l’extension de l’effet des conventions collectives plus favorables à tout un secteur d’activité. C’est comme si le RGPD était l’équivalent fonctionnel d’une telle convention collective sur leauel prend à présent appui la négociation collective au niveau mondial pour réclamer une généralisation de ces effets. Ces similitudes entre le droit de la protection des données et le droit social sont loin d’être de simples métaphores, mais elles disent au contraire quelque chose de beaucoup plus profond…

 

Via un article de calimaq, publié le 9 avril 2018

©© a-brest, article sous licence creative common info