Le 2 mai dernier, l’IAE (Institut d’Administration des Entreprises) de Paris organisait une conférence intitulée « Economie digitale : quand la société civile s’organise ». Philippe Eynaud, professeur en gestion travaillant sur l’apport des technologies de l’information au secteur associatif et coopératif, nous avait invités – Laura Aufrère et moi-même – à présenter les grandes lignes de notre article « Pour une protection sociale des données personnelles », en creusant les liens avec la question de la mobilisation de la société civile autour des enjeux de protection de la vie privée.
Vous trouverez ci-dessous la vidéo de cette intervention (merci à l’IAE pour la captation et le montage !)
Vous pourrez également visionner deux autres interventions qui ont eu lieu au cours de cette soirée : une présentation du projet Plateformes en Communs (auquel je participe également au sein de La Coop des Communs) et une autre du projet Coopcycle, alternative solidaire à des entreprises comme Deliveroo ou Uber Eats.
Sur le même sujet, j’en profite pour poster un autre contenu. Le 29 mars dernier, j’ai été invité à intervenir lors du colloque « 40 ans de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : quel bilan ? » organisé au Sénat par la CNIL. Voici ci-dessous la transcription de l’allocution que j’ai tenue, en réponse à la question qui était posée aux participants de la première table-ronde : « La loi Informatique et Libertés a-t-elle tenu ses promesses ? ».
On nous avait demandé de traiter la question suivante : la loi de 1978 a-t-elle tenu ses promesses ? C’était déjà un sujet intéressant lorsque l’invitation à ce colloque m’est parvenue, il y a quelques semaines – notamment avec l’entrée en vigueur prochaine du RGPD -, mais cela l’est d’autant plus dans le contexte de l’affaire Cambridge Analytica qui provoque les remous que l’on sait et a mis un violent coup de coup de projecteur sur les tensions que le régime juridique de protection des données subit actuellement.
Concernant les grands principes de la loi de 1978, et notamment la conception de la protection de la vie privée dans la loi de 1978, je vais commencer par relire le premier article du texte, dont Gérard Larcher a déjà lu la première phrase : « L’informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l’identité ni aux droits de l’homme, ni à la vie privée ni aux libertés individuelles ou publiques. Toute personne dispose du droit de décider ou de contrôler les usages qui sont faits des données à caractère personnel les concernant. »
Je crois que nous serons tous d’accord pour saluer la dimension personnaliste de la loi de 1978, cette inspiration humaniste qui rattache la protection des données personnelles aux Droits de l’Homme et qui conçoit la vie privée comme un droit fondamental de la personne.
40 ans après, cet esprit de la loi de 1978 est en train de se transmettre au RGPD et ces principes vont devenir le socle de la protection des données en Europe. Mais on ne peut pas échapper à un sentiment de profond décalage par rapport au sentiment d’une perte de contrôle liée notamment au développement de l’environnement numérique. Ce droit de décider et de contrôler les usages paraît bien difficile à saisir, face à un scandale comme celui de Cambridge Analytica. Certains comparent cette affaire à une catastrophe industrielle comme celle de Tchernobyl, sauf que c’est un nuage de données personnelles qui est en train de se répandre dans l’environnement numérique. Mais même si l’on prend du recul par rapport à cette actualité, on se rend compte que le problème vient d’une évolution du concept même de vie privée, qui a profondément changé depuis 40 ans, notamment du fait des formes de sociabilité qu’engendre l’environnement numérique. En 1978 après l’affaire SAFARI, la vie privée qui était conçue comme une sphère d’autonomie individuelle devant être protégée contre les intrusions extérieures que pourraient subir les personnes. On pensait en premier lieu à l’intrusion des Etats et à celle des entreprises, et la protection des données était essentiellement vue comme une protection contre un fichage abusif qu’un tiers pouvait venir exercer de l’extérieur. C’est l’équivalent de la « liberté autonomie » de Benjamin Constant, la liberté des Modernes face à la liberté des Anciens qu’il définissait comme une « liberté de participation ».
Aujourd’hui, on assiste à une sorte d’inversion et les Modernes sont redevenus quelque part des Anciens. Ils exercent leur vie privée comme une forme de participation, que les réseaux numériques leur permettent d’exercer. La vie privée ne peut plus être dissociée d’une vie sociale. Les individus en ligne utilisent leurs données pour se lier aux uns et autres, former des communautés et se rattacher à ce qu’on appelle le « graphe social », le réseau des relations unissant les individus auquel tout le monde veut se raccrocher.
Les réseaux numériques mettent en lumière cette dimension sociale de la vie privée qui a toujours existé. La vie privée a toujours été enchâssée dans une vie amicale, familiale, amoureuse, professionnelle, territoriale, citoyenne. Et concevoir la vie privée comme séparable de la vie sociale était peut-être une illusion d’optique à laquelle la loi de 1978 avait déjà succombé. L’affaire Cambridge Analytica nous l’a rappelé de manière assez saisissante, car on voit bien que cette entreprise cherchait en fait à obtenir de la part des individus des portions du graphe social dont chaque personne constitue un nœud, et elle les a obtenues en versant quelques dollars à des individus pour qu’ils lui remettent les informations liées à leur réseau. Jacques-François Marchandise, de la FING, a commenté cette affaire en disant : « Mes données personnelles ne sont pas seulement les miennes. Quand je les partage sur Facebook, j’engage aussi ma famille, mes amis, mes employés. Cette affaire montre que nos données ont un impact collectif ».
Cette dimension collective n’est pas présente dans la loi de 1978 et n’a pas de consécration juridique. Pourtant, les grands acteurs du numérique ont très vite compris que c’était le point essentiel. En 2007, Mark Zuckerberg donne une conférence dans laquelle il parle du graphe social, trois ans seulement après la création de Facebook. Il en dit ceci : « Le graphe social, c’est l’ensemble de toutes les relations de toutes les personnes dans le monde. Le graphe social, il n’y en a qu’un seul, il comprend tout le monde, personne ne le possède. Ce que nous essayons de faire chez Facebook, c’est de le modeler, le modéliser, de représenter le monde réel en en dressant la carte. » Facebook, Google et les autres grandes plateformes ne « possèdent » pas le graphe social, mais tout le monde cherche à le maîtriser car tout le monde sait que c’est la source réelle de la valeur. Cette dimension collective est de plus en plus présentes dans le discours sur les données. Dans le rapport sur l’intelligence artificielle de la mission Villani, on peut lire ceci : « Au regard de l’intelligence artificielle, on peut se demander si la notion de données à caractère personnel peut tout simplement conserver un sens. » Et ses rédacteurs appellent à penser les droits collectifs sur les données.
Ces visions appellent un dépassement assez profond de la philosophie de la loi de 1978, qui avait certes cet avantage d’avoir une vision personnaliste, mais qui la liait à un individualisme. Et c’est peut-être l’une des plus grandes failles de la loi de 1978 d’avoir procédé de cette manière. Cette faille n’était pourtant pas une fatalité, car on n’est pas obligé de protéger des droits fondamentaux sous la forme de droits individuels. Un grand juriste comme Alain Supiot par exemple, montre que d’autres champs du droit, comme le droit social, protège des droits fondamentaux sous la forme de droits collectifs. Tout ceci amène à une très profonde modification de ce qu’est la vie privée aujourd’hui. Et la personne qui l’a le mieux résumé cette évolution est sans doute Antonio Casilli, socioloque à Télécom Paris Tech, qui a dit : « La vie privée a cessé d’être un droit individuel pour devenir une négociation collective ». On est très loin d’avoir épuisé toutes les conséquences que cette phrase implique. Elle dit quelque chose de très vrai, à savoir que c’est aujourd’hui par une négociation collective que les individus, entre eux, définissent le périmètre de la vie privée, mais aussi et surtout avec les Etats et les grandes plateformes qui enregistrent sans cesse le graphe social.
La vie privée a changé de nature mais cela ne veut pas dire que les individus ont renoncé à ce besoin d’un droit de contrôler et décider les usages qui sont faits de leurs données, comme le promettait la loi de 1978. La grande question est de savoir quelle forme on doit donner aujourd’hui à ce droit pour qu’il ait une effectivité.
Dans la loi de 1978, la définition de l’échelle pertinente de l’exercice de ce contrôle est l’individu. Elle est en cela empreinte de ce que l’on peut appeler un « individualisme méthodologique ». Et cet individualisme se manifeste par le fait que c’est par le biais d’un consentement individuel que l’on va donner un pouvoir de contrôle aux personnes. Ce n’est pas tout à fait la logique dans le texte original de la loi de 1978 origine, où la notion de consentement n’était pas encore si présente. Elle jouait pour les données sensibles et a posteriori dans ce que l’on appelait le droit d’opposition que l’on pouvait revendiquer en cas de traitement, à condition de pouvoir se prévaloir d’un motif légitime. Mais le consentement est devenu de plus en plus central à mesure que le temps a passé et on s’est éloigné de l’esprit de 1978. En 1995, avec l’évolution des directives européennes il devient le principe, et dans le RGPD, il prend une place réellement centrale sous la forme d’un super-consentement « libre, éclairé explicite, réversible ». Cette place du consentement est très paradoxale. C’est à la fois une des grandes forces du régime juridique de protection des données, mais peut-être aussi une de ses plus grandes faiblesses. Face au scandale qu’il a suscité, Facebook s’est immédiatement prévalu du fait que les individus avaient consenti au traitement de leurs données, ce qui est certainement faux d’ailleurs dans le cadre de l’affaire Cambridge Analytica. Mais on voit très bien qu’ils cherchent à s’appuyer sur ce consentement des individus qu’ils obtiennent généralement facilement. Facebook annonce d’ailleurs vouloir mettre en place des outils pour centraliser les paramètres afin de faciliter l’expression du consentement pour l’individu.
Commentant cette affaire, un autre juriste, Guillaume Desjean-Pasanau, a dit une chose qui me paraît importante : « Il y a 40 ans, la loi informatique et libertés visait à protéger les individus contre le fichage abusif par les administrations et par les entreprises. Aujourd’hui, la question se pose différemment : comment protéger les utilisateurs contre eux-mêmes ? » Protéger les individus contre eux-mêmes, c’est une phrase qui prête toujours à discussion. Qu’est-ce que cela veut dire ? Il veut dire : comment faire en sorte que le consentement ne soit jamais retourné contre l’individu pour le faire participer à l’affaiblissement de ses propres droits. C’est extrêmement compliqué étant donné que l’on demande à l’individu de consentir dans le cadre d’une relation caractérisée par une asymétrie exorbitante, d’un rapport de forces déséquilibré avec les grandes plateformes numériques. On demande à l’individu seul face à Facebook, Google, Microsoft, d’être le gardien de ses propres droits.
Heureusement, le RGPD apporte des éléments qui vont peut-être permettre d’éviter que le consentement dérive en une forme de sacrifice de ses propres droits. On pense à des innovations comme la mise en conformité proactive, le privacy by design et cette notion de consentement libre, explicite et éclairé dont on constate déjà les effets. On a pu voir par exemple la mise en demeure adressée par la CNIL à Whatsapp à l’occasion du transfert des données vers Facebook, estimant que le consentement tel que proposé par cette plateforme ne pouvait pas être valable, parce qu’il devait être donné par les utilisateurs sous peine de devoir supprimer leur compte en cas de refus, ce qui revient à exercer sur eux une forme de « chantage au service ».
Néanmoins, cette question va devenir centrale à mon sens pour la suite. Il y a déjà un champ du droit qui a beaucoup réfléchi à la question de comment faire pour éviter que les individus consentent contre eux-mêmes : c’est celui du droit social et du droit du travail qui, historiquement, s’est organisé pour éviter que les individus participent à l’affaiblissement de leurs propres droits par leur consentement. Et l’on devrait aujourd’hui s’inspirer des mécanismes du droit du travail pour repenser la protection des données personnelles, notamment parce que les individus sont placés par les plateformes dans une position qui relève de ce que certains sociologues appellent le digital labor, le travail numérique, par lequel ils sont inclus par les plateformes dans un rapport de production des données à valeur économique. L’avenir de la régulation des données devrait être une régulation des travailleurs de la donnée. Antonio Casilli dont je parlais tout à l’heure a d’ailleurs interpellé la CNIL pour lui demander qu’elle change son mode de régulation et qu’elle régule l’environnement numérique sous l’angle du « travail de la donnée ». Cette approche est certainement féconde, mais cela impliquerait de changer très profondément la philosophie de la protection des données parce que cela la ferait évoluer vers ce que l’on pourrait appeler une « protection sociale des données personnelles ». Protéger les personnes pour ne pas que leur consentement affaiblisse leurs propres droits, dans le champ du droit du travail, cela est accompli par le biais des institutions de la protection sociale ; et on pourrait imaginer transposer ces mécanismes dans le champ des données personnelles pour créer une protection sociale des données personnelles. Le RGPD contient quelques éléments qui pourraient aller dans ce sens. On peut penser notamment aux recours collectifs qui permettront à l’individu de sortir de son isolement et de pouvoir agir en justice pour défendre ses droits de manière collective. Mais il y a certainement beaucoup plus à chercher dans le champ du droit social pour réinventer un droit social des données personnelles et c’est peut-être un des prochains défis qui nous attendent pour poursuivre l’histoire ouverte par la loi de 1978 et réaliser les promesses dont elle était porteuse.
