La Quadrature du net vise la défense des libertés dans l’environnement numérique depuis maintenant plus de dix ans. Le 25 mai, jour d’entrée en vigueur du Règlement Général de la Protection des Données (R.G.P.D.), cette association a déposé douze plaintes contre Google, Amazon, Facebook, Apple et Microsoft sur base de la violation du consentement libre et éclairé.
Juriste, bibliothécaire, Lionel Maurel est l’un des acteurs de La Quadrature du net. Son article co-écrit avec Laura Aufrère Pour une protection sociale des données personnelles1, établit de multiples parallèles entre droit du travail et droit des internautes (ou « travailleurs de la donnée ») et évoque la création d’une institution collective pour la défense de nos données.
Il revient avec nous sur cet article essentiel, sur la mise en œuvre du R.G.P.D., l’affaire Cambridge Analytica, la redéfinition de la vie privée, il s’insurge contre l’éventuelle monétisation des données personnelles et accuse la « fabrique du consentement » imposée par les grandes plateformes.
Selon vous, sommes-nous tous des « travailleurs de la donnée » ?
Quasiment tous les internautes, connectés ou pas, peuvent être des travailleurs de la donnée. La plupart des sites que l’on consulte, des grandes plateformes à un simple site de presse, nous mettent dans une position de possible producteur de données. Quand on est sur Facebook c’est clair: notre simple activité de publication est une production de données. C’est le cas aussi quand on rentre des questions dans un moteur de recherche, ou qu’on utilise Uber par exemple, ma géolocalisation est une production de données. Il y a très peu de cas où on ne va pas être dans ce type de situation. Imaginons même une personne qui n’a aucune activité numérique, qui n’a pas d’outil de connexion, en se promenant dans la ville, des capteurs peuvent très bien l’amener à produire des données de manière complètement inconsciente. Constamment, les individus sont dans un rapport de production de données, que ce soit conscient ou non, consenti ou non.
Par contre, on le fait avec différents statuts. Par exemple, le site Amazon Mechanical Turk propose des tâches à réaliser contre un micro paiement. Une mission du type: sur 1000 images, reconnaissez toutes celles sur lesquelles il y a un arbre, pour chaque image vous allez être payé 0,001 centime. Là, on est explicitement travailleur de la donnée. Mais les usagers de Facebook produisent aussi des données sans en avoir conscience. En effet, la plateforme fait tout pour qu’on ne s’identifie pas comme étant en position de travailleur. Donc tout le monde travaille mais pas au même titre. Autre exemple, un chauffeur Uber n’est pas uniquement producteur d’un service qui aide les personnes à se déplacer, il est aussi producteur de données, mais à titre professionnel. La grande majorité des internautes, elle, le fait à titre non professionnel. Juridiquement, il y a des distinctions primordiales à faire entre les différentes positions.
La notion de « consentement individuel » est au cœur du R.G.P.D., qu’elles-en sont les limites ?
Entré en vigueur le 25 mai dernier, le R.G.P.D. renforce l’obligation de demander le consentement des personnes quand on veut traiter leurs données à caractère personnel. Il s’agit d’un consentement libre, éclairé, explicite, réversible. Des garanties existent pour nous extraire de la situation passée où il suffisait de cliquer une fois pour accepter des tas de traitements différents, certains sites considéraient même le simple fait de les visiter comme un consentement à ce que les données personnelles des utilisateurs soient traitées.
Le R.G.P.D. vise à sécuriser l’expression du consentement. L’effet a été immédiat et énormément de sites internet ont modifié leurs conditions d’utilisation et ont redemandé des consentements explicites, traitement par traitement. Les cases ne doivent plus être cochées par défaut, on doit expliquer clairement à l’individu ce qui va être fait de ses données et il doit avoir une action positive pour exprimer son consentement. Ce n’est pas anodin. Des plateformes ont fermé quand elles se sont rendues compte qu’elles ne parviendraient pas à avoir un consentement pour ce qu’elles voulaient faire des données2.
« Les plateformes fabriquent le consentement. »
Mais cette logique est-elle si protectrice que cela ? Le consentement individuel est quelque chose de très ambigu. Même si on demande aux individus un consentement explicite et éclairé, c’est à dire qu’on leur explique clairement ce qu’on va faire de leurs données, les chiffres montrent qu’ils acceptent très largement le traitement. C’est tout un paradoxe. En général, les personnes affirment se soucier de la préservation de leur vie privée, mais quand on observe leurs comportements, une très large majorité d’entre elles accepte des traitements extrêmement intrusifs. Récemment, Facebook a activé sa fonctionnalité de reconnaissance faciale, et a donc demandé le consentement explicite. Autrement dit, cette fonction n’est pas activée par défaut, il faut le vouloir. Majoritairement, les chiffres montrent que les gens le veulent. C’est la limite du système, les plateformes fabriquent le consentement. Si l’on parle d’une plateforme type réseau social, toute votre communauté est sur la plateforme. Faire le choix de s’en détacher ou de refuser certaines fonctionnalités n’est pas un choix si simple.
« Il ne faut pas faire de l’individu isolé le centre de la protection des données personnelles. »
Le féodalisme, au Moyen-Âge, était un système de domination très particulier: ce n’est pas une contrainte absolue faite au dominé, mais on lui demande de faire allégeance au dominant, on lui demande son consentement. Après, le lien induit entre le dominant et le dominé est un lien de dépendance. Le serf rend allégeance au seigneur, travaille pour lui et, en échange, le seigneur rend des services, notamment en termes de protection. Aujourd’hui, les plateformes demandent des allégeances et ensuite, les liens de subordinations sont d’autant plus forts que les usagers ont consenti, c’est une servitude volontaire. C’est pourquoi il ne faut pas faire de l’individu isolé le centre de la protection des données personnelles. L’individu est dans un rapport tellement déséquilibré avec les grandes plateformes que nécessairement ça va induire une forme de domination. Malgré le retentissement mondial de l’affaire Cambridge Analytica, malgré une grande campagne appelant les gens à supprimer leur compte, le résultat, c’est 188 millions d’utilisateurs en plus pour Facebook en un mois. Des personnes qui ont consenti volontairement à ce que leurs données soient traitées par Facebook. Bien sûr, ce que fait le R.G.P.D., cette brique du consentement, c’est très important. Mais c’est insuffisant. La protection individuelle des données personnelles ne peut pas être ce qui va nous faire sortir de cette situation de servitude. Il faut une protection sociale, une protection collective qui sorte l’individu de cet isolement dans son rapport aux plateformes.
Dans votre article, vous affirmez que Facebook fait « précéder le bien au lien », pouvez-vous expliquer cette formule ?
Est-ce que les données personnelles sont des «biens» ? Peuvent-elles être marchandisées ? Faire l’objet d’un droit de propriété ? Ou est-ce que les données personnelles sont nos « liens ». Qui touchent à quelque-chose de profondément humain et qui justement, ne doivent pas être marchandisés ? Les données personnelles ont cette double face. Et pourtant, le modèle économique des G.A.F.A.M.3 est basé sur la cotation des données, à différents degrés. Il ne faut pas que cela soit acté en droit !
À l’approche de l’entrée en vigueur du R.G.P.D., des penseurs libéraux ont soutenu l’idée que l’on devienne propriétaires de nos données personnelles. Ils envisagent que les individus deviennent des courtiers de leurs propres données et les négocient avec la plateforme contre rémunération. À mon sens, cette approche est catastrophique à la fois en termes symboliques et en termes pratiques. Comment un individu isolé irait négocier avec Facebook ? Les conditions seraient imposées par défaut et Facebook parviendrait par la force des choses à faire baisser le prix. Au-delà de ça, ce serait désastreux symboliquement : ça signifierait qu’on accepte de marchandiser nos liens sociaux. Une fois qu’on a «vendu» ses données personnelles, la propriété de ces données est transférée à Facebook et plus aucune discussion n’est possible, c’est une session d’un droit qui transfère complètement le pouvoir. Si je vous vends ma voiture, je ne peux pas vous reprocher la manière dont vous la conduisez.
Ce serait grave à titre individuel, mais ce serait encore plus grave à titre collectif. En effet, ce morcellement individuel des données briserait complètement la possibilité d’entrer dans une négociation collective avec Facebook: c’est diviser pour mieux régner. On atomiserait complètement la relation avec la plateforme, ce qui nous empêcherait de défendre l’importance de l’ensemble des données personnelles, plus que des données des individus pièce par pièce. C’est pourquoi il faut voir nos données personnelles comme des liens, comme l’expression numérique de nos rapports sociaux, et non comme des biens à marchandiser.
Pour y revenir, le R.G.P.D. n’a pas en lui cette logique de marchandisation des données. Au contraire, il dit très bien que lorsque vous avez accepté un traitement, ça n’est pas une cession des droits sur votre donnée. Tout comme des droits attachés à la personne humaine, certaines choses sont incessibles: l’accès aux données, la vérification de leur exactitude, le retrait du consentement, le contrôle de la finalité… Tout cela n’est jamais abandonné par l’individu. Ce qui ne serait pas le cas s’il en transférait la propriété.
Pourquoi une action collective sur les données ?
Si je vous parle de données personnelles ou de vie privée, cela semble être le plus intime. Pourquoi aller négocier collectivement notre intimité ? Et pourtant, la vie privée, ce n’est pas que la vie intime. La vie privée est toujours insérée dans une vie sociale. Dans un café, vous parlez avec un ami dans un exemple d’interaction sociale, personne n’a le droit de vous prendre en photo, vous ne renoncez pas à votre droit à la vie privée. Vous n’abandonnez pas ce droit dans le cadre de votre travail non plus: votre employeur n’a pas de droit de surveillance sur votre vie privée, une limite y reste attachée. Notre vie privée c’est notre vie familiale, notre vie sociale, notre vie associative… Elle est toujours intégrée dans des rapports sociaux et a donc une dimension collective.
« Les données ont une nature collective, une nature sociale et doivent donc être discutées collectivement. »
Les plateformes se moquent de nos données à titre individuel. Ce qu’elles exploitent, c’est ce qu’on appelle le graphe social: la connexion de l’ensemble de nos données personnelles. Une plateforme comme Facebook se moque de savoir si vous préférez manger italien ou chinois, ce qu’elle veut c’est savoir avec qui vous mangez. Facebook demande aux individus de se relier à leurs «amis», enregistre le graphe social qui en résulte et le financiarise. C’est ça le fondement de la dimension collective. Les données ont une nature collective, une nature sociale, et doivent donc être discutées collectivement. Voilà pourquoi quand on demande à un individu seul de prendre une décision sur ses données, quelquechose est faussé: l’individu engage en général plus que ses propres données. Par exemple, l’accès aux mails donne des droits de traitement sur les données de toutes les personnes avec lesquelles j’entretiens une correspondance. C’est extrêmement dur de séparer ce qui relève uniquement de l’individu.
La grande question concerne la forme que pourrait prendre la négociation collective. Dans le monde du travail, des corps intermédiaires assurent cette négociation collective: les syndicats. L’employeur fragmente le collectif de travail en faisant signer un contrat individuel à chaque travailleur. Si on reste dans cette situation, les gens sont en position de faiblesse parce qu’ils doivent négocier individuellement avec leur employeur. Dans l’histoire du droit social, des couches de protection ont été mises en place. Des garanties ont été négociées collectivement avec les employeurs par les représentants des travailleurs de chaque filière afin de créer des protections que les contrats de travail doivent respecter. Tout cela est advenu grâce à une négociation collective par la base avec des syndicats qui ont représenté l’intérêt des personnes. Dans le champ des données personnelles, nous n’avons pas encore ces corps intermédiaires qui nous permettraient d’engager la discussion sur le plan collectif. Tant que ces intermédiaires de négociation n’existeront pas, on ne sortira pas de la domination individuelle. Après, il faut voir exactement quelle forme ça pourrait prendre. Le R.G.P.D. mentionne les « actions de groupe », qui pourraient être l’embryon d’une forme d’institution collective prenant en charge la défense des données. Mais ça ne suffira pas, autre chose doit être inventé.
Comment pourrait-on envisager des « espaces de négociation collective » comme vous le suggérez dans votre article ?
Aux Etats-Unis, Microsoft et Apple vont appliquer les mêmes protections que celles du R.G.P.D. en Europe aux citoyens américains sans y être obligés. C’est la pression ambiante sur le sujet, dans les médias, qui les a poussés à aller plus loin que la loi, à offrir des garanties supplémentaires par rapport au minimum fixé. Finalement, cette pression applique quelquechose qui ressemble à une négociation collective, sauf que la société civile n’est pas vraiment organisée pour y prendre part.
« Le rapport avec la plateforme nous empêche de créer les conditions du conflit. »
Revenons à l’affaire Cambridge Analytica: pour rappel, Facebook a laissé aspirer les données de centaines de millions de personnes, ensuite utilisées par cette firme, Cambridge Analytica pour faire une publicité électorale qui a eu manifestement une incidence sur l’élection américaine. Cela révèle des problèmes dans le fonctionnement de Facebook. Résultat: Facebook s’excuse, dit avoir conscience d’avoir mal agi. Mark Zuckerberg va se justifier au congrès américain, puis devant le parlement européen, et c’est tout pour l’instant. Quand il y a un scandale de ce type, je trouverais tout à fait normal que Mark Zuckerberg aille devant des représentants de ses utilisateurs pour négocier les conditions d’utilisation de la plateforme, puis les modifier pour donner plus de garanties aux usagers. En droit du travail, c’est comme ça que ça se passe, les représentants des personnes concernées négocient avec la personne qui est en mesure de leur apporter davantage de droits. Pour l’instant, ces mécanismes de représentation n’existent pas encore. La seule arme qui soit dans les mains de l’utilisateur c’est de partir. Si des millions d’utilisateurs quittaient Facebook, ça les tuerait. Donc la seule arme réelle dans la négociation s’apparente à une grève finalement. Les employés arrêtent de travailler et c’est ce qui force l’employeur à négocier. Mais nous en fait, on n’arrête jamais de travailler ! On ne désactive pas nos comptes ! Pourquoi Facebook irait négocier alors que les usagers continuent d’utiliser sa plateforme ? Ce rapport avec la plateforme nous empêche de créer les conditions du conflit. Tant qu’il n’y a pas de conflit social, les employeurs ne négocient pas les droits des travailleurs. Grâce à leurs grèves, les chauffeurs Uber ou les livreurs de Deliveroo parviennent, dans une certaine mesure, à recréer les conditions d’un conflit social. Mais vis-à-vis d’un acteur comme Facebook ou Google, créer les conditions d’un conflit social, c’est très compliqué.
À votre avis, comment un tel mouvement pourrait se mettre en œuvre ? L’initiative doit-elle venir des citoyens ? Des utilisateurs ? De l’État ?
Avec le R.G.P.D., l’Union Européenne a fait une partie de son travail: elle a imposé une réglementation qui a un certain potentiel de modifier les choses. D’ailleurs, il y a eu énormément de pressions au Parlement européen pour affaiblir le R.G.P.D., ce n’est pas un texte parfait, il a des tas de failles, mais il garde un potentiel. Maintenant, les états ont un rôle crucial à jouer parce que tout est suspendu aux sanctions. Le R.G.P.D. a des amendes très lourdes, qui peuvent aller jusqu’à 4% du chiffre d’affaires mondial d’une plateforme. À cette hauteur de sanction, même pour Google ou Facebook, ce n’est plus du tout anodin. Il faut que lorsque les autorités de régulation4 seront saisies de plaintes, elles appliquent les sanctions, et qu’elles aient le courage de le faire au taux maximum. Tout va se jouer dans les mois et années à venir, à la capacité des états à infliger des sanctions réelles. Sinon cela n’aura pas d’incidence.
« Le R.G.P.D. aujourd’hui est plus menaçant pour un employeur qu’un droit du travail affaibli par les réformes néo-libérales. »
Après, il faut que la société civile construise cet environnement de négociation collective et là, ce sont tous les corps intermédiaires qui ont un rôle à jouer. Avec l’entrée en vigueur du R.G.P.D., tout le monde doit se mettre en conformité, pas seulement les G.A.F.A.M. À l’échelle d’une association, on traite des données à caractère personnel, ne serait-ce que les données de ses membres. Le faire proprement, en expliquant aux gens pourquoi on le fait, voire en les incluant dans la mise en œuvre d’une réglementation, provoquera une prise de conscience de l’existence de ces règles et contribuera sûrement à développer une culture de l’importance de ces sujets. Idem dans les administrations, les collectivités territoriales et aussi les entreprises pour lesquelles il s’agit clairement d’un enjeu majeur, puisqu’une part du pouvoir des employeurs passe sur la surveillance de ses salariés. La négociation de la force de cette surveillance, c’est une part du rapport de force employeur/employé. Certains pensent que le R.G.P.D. aujourd’hui est plus menaçant pour un employeur qu’un droit du travail affaibli par les réformes néo-libérales. Peut-être y a-t-il un levier à utiliser pour rétablir le rapport de force avec les employeurs, par les syndicats par exemple. Ceci aussi est susceptible d’acculturer les gens à l’importance des droits qu’ils ont sur leurs données. Nous devons nous atteler à la tâche de trouver cette nouvelle forme de syndicat du numérique ou toute autre forme de moyen d’action.
Suite au R.G.P.D. et aux multiples mails qui ont suivi sa mise en œuvre, on a observé un certain désintérêt ou juste une occasion de se désabonner de listes qui ne nous intéressent plus. Comment analysez-vous cette réaction ?
C’est même devenu un « mème » ! Les gens se moquent de tous ces mails ! S’ils se saisissent de l’occasion pour se désabonner de certains services et faire un peu le ménage dans leur vie numérique, c’est pas si mal, puisque cela signifie qu’ils n’avaient plus conscience de faire traiter leurs données par ces services. Certains sites ont fait les choses de manière «propre» et si on prend le temps, on peut reparamétrer les critères de traitement des données. Google a joué le jeu. Si on plonge assez profondément dans un tableau de bord mis à disposition, pas si simple d’accès…
Ce n’est pas « simple et éclairé » ?
Non. C’est là qu’il y a une fabrique du consentement. Il suffit de deux clics en plus à faire et un pourcentage monstre des utilisateurs ne les feront pas. Mais quand on va jusqu’au bout chez Google, ils donnent accès à un tableau où on peut tout désactiver: la géolocalisation, le ciblage publicitaire, la lecture des mails… Si vous décochez toutes les cases, Google n’a quasiment plus de traitement de vos données personnelles.
Les mails R.G.P.D. avaient le potentiel pour nous laisser reprendre du pouvoir sur nos données. Cependant, la plupart des individus ne vont pas le faire. C’est ça qui est terrible dans cette approche individualiste : nous avons le pouvoir de changer les choses mais… C’est comparable à l’écologie: si nous faisons tous parfaitement le tri sélectif, nous aurons un pouvoir très fort sur la production des déchets. Dans la réalité, le pourcentage des gens qui le font effectivement le font souvent à une échelle individuelle de calcul. On ne peut pas prétendre résoudre le problème uniquement sur la base de calculs individuels.
La Quadrature de net essaie-t-elle de se constituer en collectivité ?
La Quadrature du net est intervenue au Parlement européen dans la négociation du R.G.P.D.. Pendant des mois, nous avons fait une campagne pour envoyer des amendements, sensibiliser les citoyens… Maintenant qu’il est entré en vigueur, il contient une disposition intéressante appelée «actions de groupe». Avant, si un individu n’était pas d’accord avec ce que Facebook faisait de ses données, il devait aller faire un procès tout seul. Grosse décision à prendre quand on se lève le matin… Le R.G.P.D. en a pris conscience, les «actions de groupe» permettent maintenant aux individus de regrouper leurs plaintes et de donner un mandat aux associations qui vont pouvoir les représenter à la fois devant les autorités type C.N.I.L. et devant la justice. Ceci peut démultiplier le pouvoir de régulation du R.G.P.D..
« Si l’usager est mis dans une situation où un refus l’expose à une sanction négative, ce n’est plus un consentement libre, c’est une soumission. »
Dès le 25 mai, entrée en vigueur du R.G.P.D., la Quadrature du net a déposé douze plaintes contre Google, Amazon, Facebook, Apple et Microsoft sur la base de la violation du consentement libre et éclairé. Prenons Facebook par exemple, concernant certains aspects des traitements des données, il place ses usagers devant le choix suivant: soit vous consentez, soit vous désactivez votre compte. Cela s’appelle le «chantage au service» et c’est contraire au R.G.P.D.. Dans «consentement libre», «libre» est à interpréter au sens le plus fort du terme, soit «non conditionné». Si l’usager est mis dans une situation où un refus l’expose à une sanction négative, ce n’est plus un consentement libre, c’est une soumission. Google, Amazon, Facebook etc. utilisent ce procédé. C’est pour ça qu’on les attaque. Nous ne défendons pas le consentement individuel, nous défendons le fait qu’il subsiste des limites à ce consentement, on ne peut pas demander aux individus de consentir dans ces conditions.5
Dans votre article, vous pointez la notion de «portabilité citoyenne», pourriez-vous nous en parler ?
Contenu dans le R.G.P.D., le droit de la «portabilité» est un nouveau droit qui dit que quand vous avez confié des données à un fournisseur de services, vous pouvez demander à les récupérer. De plus, le R.G.P.D. rajoute l’idée qu’il doit vous les donner dans un format ouvert qui vous permettra de les donner à un autre fournisseur de services. Par exemple, vos mails sont chez Yahoo, chez Gmail, chez n’importe quel fournisseur. Normalement, vous pouvez récupérer l’ensemble de vos mails et de vos contacts pour les réinjecter dans une autre boîte mail, ça vous évite de tout perdre. Autre exemple, vous avez fait plein de playlists chez Deezer, vous devriez pouvoir les réinjecter dans Spotify. Cela évite que les individus aient les pieds et les mains liés aux plateformes. Dans le cas des mails ou des playlists, cela peut avoir un sens.
« Il faudrait une «portabilité collective» ou une «portabilité citoyenne» des données. »
Encore une fois, c’est intéressant mais trop individuel pour fonctionner. Si je suis sur Facebook, quel intérêt ai-je à récupérer mes données personnelles ? Je vais récupérer mes photos, mes contenus, mes vidéos… Mais je suis obligé de me détacher du réseau. Ce que je vais perdre, c’est surtout mes contacts avec les autres personnes. Il faudrait que tous les individus, ensemble, récupèrent leurs données pour les réinjecter ensuite en même temps pour reconstituer leur réseau. Nous défendons l’idée qu’il faudrait une «portabilité collective» ou une «portabilité citoyenne» des données, c’est-à-dire pas seulement la possibilité pour un individu isolé de récupérer ses données, mais un mécanisme qui permette de le faire ensemble pour en porter aussi la dimension collective. Quelque chose n’est pas fractionnable dans notre action sur les réseaux, c’est cette fameuse dimension collective des données.
La notion de «portabilité citoyenne» a été utilisée par certaines municipalités qui incitaient tous leurs citoyens à récupérer leurs données chez Uber pour les injecter dans un service municipal pour créer une nouvelle plateforme. Ils disaient que ce serait similaire au don du sang: «Prenez vos données et donnez les !». En faire don pour qu’une nouvelle plateforme puisse vivre. J’ai trouvé ça très beau.
Il faut avoir une sacrée foi dans les institutions publiques pour ça…
C’est une partie extrêmement importante de l’équation. En France, des lois sécuritaires sont passées qui donnent des pouvoirs énormes à l’État en termes de traitement des données et de surveillance. De plus, les états et les grandes plateformes ont des accords sur le traitement des données à des fins de lutte contre le terrorisme, ce qui crée une couche de complexité supplémentaire. À cause de cette surenchère sécuritaire, on s’est coupé d’une alternative à mon avis de manière quasi-irréversible. Après, des services purement citoyens existent. Par exemple Mastodon, une alternative à Twitter qui est un réseau social décentralisé, évitant d’avoir à mettre toutes les données sur une même plateforme, et qui permet à des instances de communiquer entre elles de manière transparente pour l’utilisateur, comme un Twitter sans banque centrale. Pas besoin de l’état pour ça, il suffit juste que différents collectifs acceptent d’héberger une partie du réseau. On peut donc faire renaître un service sans que l’État s’en mêle, de manière purement citoyenne.
Pourriez-vous nous parler de la « blockchain »?
La blockchain, c’est le protocole qui est derrière le bitcoin par exemple. Il garantit que pendant une transaction en bitcoin, cette transaction s’enregistre dans ce qu’on appelle une chaîne de bloc, dont la caractéristique est d’être irréversible. Une fois que la transaction en bitcoin a été effectuée, elle devient impossible à effacer. C’est ce registre des transactions qui crée la confiance en ce système. L’autre grand avantage, c’est que le registre n’est pas centralisé, l’ensemble de ce registre n’est géré par aucune banque mais chaque utilisateur en possède une copie. L’hébergement décentralisé de l’ensemble de ces données forme le registre global.
Selon moi, la blockchain en elle-même doit être dissociée du bitcoin qui est très toxique, un usage spéculatif et négatif de la technologie blockchain. Vis-à-vis de la vie privée cela pose des questions, certains évoquent l’idée de créer une blockchain des données personnelles qui nous permettrait par exemple d’enregistrer les consentements. Le problème c’est que c’est irréversible, et le R.G.P.D. mentionne le «droit à l’oubli», autrement dit si une plateforme a eu le droit d’utiliser vos données, vous pouvez lui demander d’effectuer un effacement pour qu’il n’y ait plus de traces de ce que vous avez fait. Or, si on traite la gestion de nos données personnelles à travers une blockchain, il ne peut pas y avoir de droit à l’oubli, puisque c’est irréversible par définition.
« La solution au problème des données personnelles ne sera pas technologique, elle ne peut être que de l’ordre du social. »
L’autre problème, c’est que comme la blockchain est très utilisée pour faire des crypto-monnaies, ça pourrait être un outil de monétisation des données personnelles: autoriser à traiter ses données pour tel ou tel usage, contre un paiement en bitcoin par exemple. Ceux qui envisagent de faire une propriété des données personnelles imaginent que leur marchandisation serait gérée de cette façon. À mon avis, il y a plus de risques que de bénéfices à tirer de la blockchain parce que toutes ses applications finissent à un moment ou à un autre par dériver vers une monétarisation des échanges. La solution au problème des données personnelles ne sera pas technologique, elle ne peut être que de l’ordre du social, de l’organisation humaine, de notre capacité à nous organiser pour faire face à ce problème.
La vie privée et le droit à la vie privée sont des notions qui ont évolué avec le temps et les usages. Comment pourrait-on aujourd’hui revoir le droit à la vie privée ?
Dans la jurisprudence américaine, la notion de «privacy» existe depuis très longtemps. Il s’agit du droit à être laissé en paix, qu’on ne vienne pas faire intrusion dans votre espace. Quand vous êtes dans votre domicile, vous avez votre droit à la vie privée, on ne doit pas faire intrusion dans votre espace : que ce soit quelqu’un qui rentre, ou quelqu’un qui met un micro… C’est l’idée d’être laissé en paix dans un espace contrôlé. Ce qui a fondamentalement changé, notamment avec le numérique, c’est que les gens ne veulent pas être laissés en paix. Sur les plateformes, ils exposent constamment des choses qui relèvent du privé. L’interaction est bien plus demandée, le fait d’être lié aux autres, de recevoir des informations, d’en donner… C’est très difficile d’être en paix aujourd’hui, il suffit d’avoir un smartphone pour recevoir sans arrêt des notifications, des sollicitations… Donc, on ne peut plus réduire le droit à la vie privée à une volonté d’être en paix, d’être dans une sphère dans laquelle il n’y aurait plus d’intrusion.
Pour autant, les gens n’ont pas abandonné l’autre facette de la vie privée: le droit au contrôle sur les usages des données personnelles. Ce n’est pas du même ordre. Encore une fois, dans l’espace public, on n’abandonne pas son droit à la vie privée. L’enjeu est de faire en sorte que l’espace public qu’est internet respecte lui aussi ce droit à la vie privée, soit un droit de contrôle sur l’usage de nos données personnelles. Le R.G.P.D. va dans ce sens. Peu importe ce que vous confiez à la plateforme, vous avez le droit de lui imposer soit de ne pas traiter ces données, soit de les traiter uniquement pour la finalité que vous aurez souhaitée.
« À cause du numérique, il y a une reformulation très profonde de ce qu’on appelait la vie privée. »
Récemment, il y a eu un scandale avec une plateforme de rencontres homosexuelles où les usagers avaient la possibilité d’indiquer leur statut sérologique. La plateforme, par défaut, partageait ces informations avec des entreprises tierces. Suite à cette révélation, la plateforme s’est défendue sur la base du volontariat et du consentement de leurs usagers, qui ont accepté leurs conditions d’utilisation. C’est inacceptable. Les gens sont souverains dans leurs actes et peuvent révéler ce qu’ils souhaitent, mais par contre, ils n’abandonnent pas leur pouvoir de contrôle sur ces informations. Ce qu’on appelle la vie privée, à l’heure du numérique, doit être reformulé comme un pouvoir de contrôle effectif sur les informations que l’on révèle. Si ce site de rencontres est attaqué en Europe, il va tomber parce que l’information sur le traitement des données n’était pas assez explicite. D’autre part, on ne peut pas considérer que, parce qu’on s’est inscrit sur la plateforme, on a implicitement accepté le partage de cette information avec d’autres entreprises. Dans le monde post R.G.P.D., il faudrait qu’une fenêtre s’ouvre avec une case à cocher demandant l’acceptation du partage de cette information sérologique avec une entreprise tierce dont vous ne connaissez pas les intérêts et velléités. À cause du numérique, il y a une reformulation très profonde de ce qu’on appelait la vie privée.
Propos recueillis par Olivier Grinnaert.
1Disponible sur le blog S.I.Lex / https://scinfolex.com/2018/02/05/pour-une-protection-sociale-des-donnees-personnelles/
2 Unroll me est une application qui permet de nettoyer sa boîte mail. Lorsqu’on l’utilise, on accepte le fait que toutes les données liées à nos boîtes mail (carnet de contacts, contenu des mails…), soit revendu à des firmes qui font du marketing ciblé. Cette société à renoncé à fournir son service en Europe.
3 Google, Apple, Facebook, Amazon, Microsoft
4Commission de la Protection de la Vie Privée (C.P.V.P.) en Belgique. Commission Nationale de l’Informatique et des Libertés (C.N.I.L.) en France. Il y en a une pour chaque état de l’Union.
5Les «actions de groupe» de ce type doivent être enclenchées à échelle nationale. Celle de la Quadrature du net est active pour les citoyens français qui souhaitent leur communiquer un mandat. Il en existe une autre en Autriche, pas encore en Belgique.