Aujourd’hui entre en application le Règlement Général de Protection des Données (RGPD). Laura Aufrère et moi publions à cette occasion une tribune dans le supplément Idées du journal Le Monde. Il s’agit de la version courte d’un texte plus développé que nous postons ci-dessous.
***
RGPD : la protection de nos vies numériques est un enjeu collectif !
Règlement Général sur la Protection des Données, RGPD : de grands espoirs sont placés dans ces quatre lettres qui désignent le règlement européen entrant en vigueur le 25 mai. Le texte vise à renforcer les droits et la protection des individus en encadrant les conditions de collecte et de traitement des données. Il garantit une application plus cohérente de la réglementation en s’imposant aux plateformes partout dans le monde, dès lors qu’elles traitent les données de citoyens européens. En cas de violation, les entreprises du numérique s’exposent à d’intimidantes sanctions pouvant atteindre 4% de leur chiffre d’affaire mondial. Après des années d’abus et d’impunité, une opportunité paraît enfin s’ouvrir pour reprendre en main nos vies numériques, notamment face aux GAFAM.
L’ambition du texte est de protéger les données personnelles comme des attributs de la personne humaine, un objectif noble et essentiel. Mais de quel abus s’agit-il au juste de nous garder et en quoi consiste exactement ces « données » ? Ce que des acteurs comme Facebook ou Google exploitent commercialement, c’est avant tout le « graphe social » : la trame des relations unissant les individus entre eux. C’est pourquoi l’essentiel des données exploitées est produit par croisement de nos traces et données numériques, pour qu’elles expriment nos comportements de socialisation. C’est surtout cette dimension collective des données qui fait l’objet de valorisations financières du fait de son potentiel lucratif.
Là où le droit protège des données « personnelles », les plateformes s’intéressent donc en réalité à des données « sociales », sans que cette dimension collective fasse en elle-même l’objet d’une protection juridique. Rien n’a mieux mis en lumière ce décalage que le scandale Cambridge Analytica avec lequel Facebook se débat depuis plusieurs mois. Ce que la firme incriminée a obtenu via Facebook, c’est le consentement individuel de 270 000 personnes en leur faisant remplir un test de personnalité. Mais ce qu’elle a effectivement récolté à travers leurs contacts, ce sont les données attachées à au moins 50 millions de personnes, soit une large portion du graphe de Facebook. Les données apparaissent alors précisément comme ce que le droit actuel n’arrive pas à saisir : des « coordonnées sociales » servant à nous positionner dans le graphe et l’expression technique de nos relations.
Cette dimension collective échappe pour l’essentiel au RGPD, car malgré ses réelles innovations, il reste empreint de la même philosophie « personnaliste » qui inspira dès 1978 la loi Informatique & Libertés en France. Dans cette approche, les données sont appréhendées à travers un prisme « individualiste » qui ne les saisit qu’en tant qu’elles se rapportent à un individu déterminé en permettant de l’identifier. Quoi de plus naturel en apparence que de donner des droits à l’individu pour protéger sa vie privée ? A cette fin, le règlement étend et renforce l’exigence d’obtenir le consentement « libre et éclairé » des personnes afin de pouvoir traiter légalement leurs données. C’est une des forces du texte, mais cette approche repose en réalité sur une fiction juridique les plateformes sont déjà en train d’exploiter : l’individu isolé, capable « d’auto-détermination » et érigé à ce titre en centre de gravité de la régulation.
Certes, le RGPD introduit de nouveaux principes comme le privacy by design (protection dès la conception) et le privacy by defaut (protection par défaut). Ces notions impliquent que les applications soient proposées à l’utilisateur avec des paramétrages initiaux minimisant la collecte de données par rapport à la finalité poursuivie. De telles garanties, qui n’existaient pas jusqu’alors, sont nécessaires à l’exercice a minima du consentement. Mais il est frappant de constater combien les grands acteurs du numérique sont passés maîtres dans l’art de « fabriquer du consentement » à travers le design même de leurs interfaces. Les nouvelles conditions d’utilisation de Twitter, Google ou Facebook ont ainsi été proposées afin d’orienter subtilement l’internaute. Google donne désormais à ses utilisateurs la possibilité de désactiver l’essentiel des fonctionnalités de profilage, mais en sachant très bien que seule une minorité infime plongera dans le « tableau de bord » mis à leur disposition pour faire ce choix. De son côté, Facebook a bien désactivé par défaut la reconnaissance faciale, mais « explique » à l’utilisateur que cette fonctionnalité le protégerait de personnes malveillantes postant des photos à son insu et aiderait les personnes malvoyantes à comprendre les images…
Et quid de nos « amis » qui accepteront : qu’emporteront leurs données qui parlent de nos intimités, de nos chemins collectifs ? Qu’est-ce qui peut être vendu de nos vies d’humains, sans qu’aucun des utilisateurs sache exactement quelle part de ses relations alimentera la machine financière ? Notre vie sociale est tissée de nos relations, c’est pourquoi le consentement implique toujours, du fait même de la nature sociale des données, une dimension collective. Ce qui se joue, c’est l’enjeu de dignité et de résistance individuelle face à ces manipulations manifestes, mais c’est aussi un enjeu de « dignité collective », qui met au cœur du débat la solidarité entre usagers, via la protection mutuelle de nos intimités relationnelles. D’un côté, les GAFAM organisent une subordination d’usage des individus, pris dans un faisceau d’incitations caractérisant l’asymétrie exorbitante du rapport de forces entre plateformes et usagers. De l’autre, le RGPD vient acter en droit que le consentement individuel suffirait à renoncer à un débat collectif sur ce qui peut, dans nos vies, décemment, devenir une marchandise.
Quand bien même les plateformes auraient à redouter l’exercice du consentement individuel, elles disposent dans le RGPD d’une option redoutable pour mettre hors d’atteinte certains aspects essentiels de leur fonctionnement. Le texte prévoit en effet qu’une entreprise peut invoquer son « intérêt légitime » pour traiter des données sans avoir à recueillir le consentement des utilisateurs. Le texte précise qu’on ne devrait pas compromettre sur cette base les droits et libertés, mais il n’en donne pas de définition précise, ce qui laisse une marge de manœuvre considérable aux plateformes. Google affirme ainsi dans ses nouvelles conditions d’utilisation que le maintien de son modèle publicitaire relève de son intérêt légitime. Facebook va encore plus loin en revendiquant comme un intérêt légitime le fait de pouvoir « faire des recherches et innover dans le bien de tous » afin de « changer notre société et le monde de manière positive ». Habile manœuvre de l’entreprise pour laisser entendre que son intérêt légitime n’est pas uniquement son intérêt privé, mais qu’il s’identifie à l’intérêt général…
Le RGPD comporte donc plusieurs failles, mais cela ne signifie pas qu’il est automatiquement voué à l’échec, car une autre lecture du texte est possible. La notion de « consentement libre » notamment porte en elle un fort potentiel à condition de lui donner sa pleine signification. Le G29 regroupant les autorités de régulation européenne s‘est engagé dans cette voie en affirmant que le consentement ne peut être valide s’il est « conditionné », c’est-à-dire si l’individu risque de subir des conséquences négatives en refusant certains traitements. Cela interdit d’exercer sur lui un « chantage au service », comme l’ont fait par exemple Facebook, BlaBlaCar ou AirBnB en obligeant les utilisateurs à accepter certains traitements de données sous peine de ne plus pouvoir utiliser leur service après le 25 mai.
L’enjeu est d’empêcher que le consentement soit retourné contre les individus en les faisant participer à l’affaiblissement de leurs propres droits, et donc par extension, de nos droits collectifs sur les données. Or, protéger les individus placés dans un rapport de forces et de négociation défavorable est traditionnellement la fonction du droit social. Celui-ci affirme la dimension collective du consentement, qui trouve sa légitimité dans la délibération des objets et des enjeux de négociation. Son but est de garantir à la fois la dignité des personnes et de protéger la société d’un éclatement en autant de fragilités individuelles exploitées isolément. Le RGPD peut jouer un rôle similaire : la protection individuelle des données évoluerait alors vers une forme de « protection sociale » fidèle à l’impératif de protection de la dignité des personnes, mobilisée dans sa dimension collective.
Le contournement du RGPD n’est donc pas inéluctable, mais soyons lucide : ses potentialités resteront lettre morte si les citoyens ne font pas valoir cette lecture exigeante devant la CNIL et les tribunaux. Pour cela, le RGPD apporte une réelle innovation en ouvrant la possibilité d’exercer des actions de groupe permettant à des associations de porter des mandats confiés par des citoyens. La Quadrature du Net va engager de tels recours collectifs face contre les cinq GAFAM pour violation de l’obligation de recueillir le consentement libre et éclairé des utilisateurs et tous les citoyens peuvent s’y joindre jusqu’au 28 mai. C’est la condition sine qua non pour forcer les géants du Net à ne pas se contenter de changements cosmétiques de Conditions Générales d’Utilisation, mais à revoir en profondeur leur modèle pour respecter les droits fondamentaux.
A cette bataille d’interprétation est suspendue la capacité du RGPD à changer réellement le cours des choses en nous faisant sortir de la soumission collective pour partir à la reconquête effective de nos droits et libertés.
Consultez la version en anglais de ce billet.
