Quelles formes de régulation de l’exploitation des données personnelles ?

Posted on 3 juillet 2018 par Louise Guillot

En mars 2018, une partie du monde avait les yeux rivés sur une audition du Sénat américain : pendant 5 heures, Marc Zuckerberg a dû répondre aux nombreuses questions des sénateurs, suite au scandale Cambridge Analytica – incriminant l’exploitation non consentie de données personnelles de 87 millions d’utilisateurs à des fins d’influence politique. Rarement sous les feux des projecteurs, les arènes du Sénat ont ainsi été le théâtre d’un débat qui dépasse les frontières américaines : celle du statut des données personnelles et de la responsabilité – individuelle et collective – de leur protection et leur exploitation, dessinant les contours d’une politique publique de la donnée personnelle. A cette occasion, Simon Mougin, stagiaire à la 27e Région, a décortiqué des symptômes et des signes esquissant des pistes de régulation alternatives. 

 

 

Les données personnelles comme propriété individuelle

Si elle nous concerne tous, la question des données personnelles et de leur traitement à des fins diverses peut sembler être justement une affaire d’individus : chacun, individuellement et selon son opinion, peut vouloir se protéger d’une telle exploitation de ses données, ou bien au contraire n’en avoir pas grand-chose à faire – et ainsi adopter la position du “je n’ai rien à cacher”.

Cette approche individualiste est à l’origine d’une proposition faite par le think-tank Génération Libre, dans un rapport publié en janvier 2018 : la patrimonalisation des données personnelles. Cette idée part du constat que l’exploitation de nos données, au fondement du modèle économique des plateformes numériques (Google, Apple, Facebook, Amazon pour ne citer qu’eux), échappe à la maîtrise des utilisateurs, qui en sont pourtant les “producteurs”, et qui de fait seraient exclus de la chaîne de valeur. Autrement dit, nous serions tous des “travailleurs” de la donnée, produisant ce nouvel or blanc sans aucune rémunération. Afin de redonner du pouvoir à l’internaute, le rapport propose d’intervenir juridiquement en instaurant un droit de propriété numérique, similaire à la propriété intellectuelle : chacun serait libre de vendre, ou non, ses données aux plateformes.

En adoptant cette position, Génération Libre fait de la question des données un enjeu individuel et marchand : chaque internaute est à la fois un consommateur de services et un producteur de données, lesquelles deviennent une monnaie d’échange sur le marché des services numériques. L’enjeu, pour chacun, est alors de valoriser au mieux cette monnaie, en négociant avec les plateformes une (micro) rémunération contre l’exploitation des données. Inversement, celui qui ne souhaite pas que céder la propriété de ses données pourra se tourner vers des services payant qui garantissent leur protection (à l’exemple du réseau social Whaller). Selon les mots d’Antonio Casilli et Paola Tubaro, respectivement chercheurs en sociologie à l’EHESS et en informatique au CNRS, la vie privée devient l’objet d’une négociation individuelle : il s’agit d’un « échange, marchand ou pas, où les données personnelles font fonction de monnaie« .

 

Et l’acteur public dans tout ça ?

Cette négociation commerciale renvoie au modèle d’une régulation sociale interpersonnelle. Autrement dit, les règles concernant son exploitation sont le fruit d’un accord entre deux parties : l’individu et la plateforme. De son côté, la puissance publique a un rôle bien circonscrit : elle définit le cadre de la négociation, c’est-à-dire les règles du jeu, en l’occurrence ici un droit de propriété des données permettant un marché de celles-ci, censé plus ou moins s’auto-réguler par le libre jeu des négociations marchandes entre les différents acteurs.

Mais ce rééquilibrage peut également se baser sur l’idée d’accountability : il s’agit de responsabiliser les plateformes qui traitent les données afin de garantir les droits individuels, en les obligeant à mettre en oeuvre des mesures techniques précises. Symptôme de cette tendance, l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) à l’échelle européenne, illustre une prise de conscience : il y a une nécessité de réguler par la voie légale le traitement des données, en renforçant les droits individuels (par exemple en instaurant les droits à la portabilité ou à l’effacement) et surtout en contraignant le champs d’action des plateformes. Entre autres mesures : la plateforme doit prévoir, dès sa conception, le plus haut niveau possible de protection des données et garantir par défaut à ses utilisateurs une protection maximale (“privacy by design” et “privacy by default”).

 

Un syndicalisme de la protection de la vie privée ?  

Mais ce niveau d’intervention suffit-il à rééquilibrer la relation, particulièrement asymétrique (voire “féodale”, selon le juriste Lionel Maurel) entre individu et géants du web ? Dans un contexte où certaines plateformes sont en position de monopole en se rendant incontournables, elles sont souvent en mesure d’imposer un “chantage au service” : la part de négociation d’un individu se réduit à accepter les fameuses CGU (Conditions générales d’utilisation) pour accéder au service, on renoncer à l’utilisation du service.

Faut-il alors passer d’une négociation individuelle à une négociation collective, comme le préconisent Casilli et Tubaro ou Lionel Maurel ? Pour eux, la négociation de la vie privée n’est pas seulement individuelle : elle est, et doit être, une négociation collective.

“La vie privée a changé de visage, elle a arrêté d’être un droit individuel pour devenir une négociation collective. Pas au sens commercial du terme, mais au sens syndical”.

Si l’on compare ce cas au droit du travail, il s’agit cette fois de donner aux salariés d’une entreprise la possibilité de négocier non plus individuellement mais collectivement, en conférant un pouvoir fort aux syndicats. Concernant les données personnelles, là encore, le RGPD peut constituer un cadre légal allant dans ce sens, même si les partisans de la négociation collective le jugent trop timide. Il s’agit, dans cette perspective, de fournir aux individus les capacités de s’organiser collectivement pour faire valoir leurs intérêts face aux géants du web. De telles actions collectives ont été mises en place, notamment par l’association La Quadrature du Net, qui a porté plainte contre les GAFAM au nom de leurs utilisateurs, dénonçant le “consentement forcé” et le “chantage au service” de ces plateformes.

 

Vers une politique publique de la donnée ?

Quelle que soit la direction envisagée (droits individuels, contraintes légales pour les plateformes, droit à l’organisation collective des utilisateurs), cette attention croissante sur la protection des données personnelles (comme on l’a vu avec le scandale Cambridge Analytica et le traitement politique qui s’en est suivi) est symptomatique d’un constat de plus en plus évident : la nécessaire implication de l’acteur public sur les questions de liberté numérique.

Si, pour le moment, l’acteur public semble s’en tenir à encadrer les formes de négociations (individuelles ou collectives), on peut se projeter un peu plus loin et imaginer qu’il intervienne directement dans ces négociations : pour reprendre la métaphore du droit du travail, ce changement de paradigme consisterait à passer d’une puissance publique qui confère du pouvoir aux syndicats à la définition d’un temps de travail légal. En clair, ce serait quoi, les “35 heures” de la protection des données ? L’Etat pourrait-il, pour garantir la protection de la vie privée, aller jusqu’à interdire aux plateformes de recueillir certaines données ou de limiter la manière dont on pourrait les utiliser ?

 

Un nouveau mouvement de nationalisation ? 

Enfin, et pour finir sur un scénario un peu plus curieux, certains vont même jusqu’à proposer une implication de l’acteur public qui irait jusqu’à la nationalisation de certaines plateformes. Même si elle n’est pas vraiment envisageable concrètement, cette idée a le mérite de souligner que les plateformes internet qui collectent massivement nos données soulèvent des enjeux qui ont trait non seulement aux individus, mais au bien commun dans son ensemble. Il serait donc dans l’intérêt général que la puissance publique intervienne, plutôt que de laisser les individus seuls négocier l’utilisation de leurs données face aux GAFAM, qui pèsent par leurs monopoles.