Un "RGPD californien" qui transforme les données personnelles en marchandises fictives…

Depuis le 1er janvier, le CCPA (California Consumer Privacy Act) est entré en vigueur aux États-Unis. Ce texte adopté en 2018 par l’État de Californie en réaction au scandale Cambridge Analytica a fait l’objet d’une large couverture par la presse américaine, qui en souligne l’importance en le comparant à notre RGPD (Règlement Général sur la Protection des Données) dont il serait inspiré. Il est vrai que les deux textes présentent certaines similarités (voir ici par exemple pour une comparaison détaillée sous forme de tableau). Mais ils comportent aussi des différences notables, parce qu’ils ne relèvent pas de la même philosophie et n’ont pas la même façon de concevoir la nature des données personnelles.

En effet, là où le RGPD protège les données personnelles comme un aspect de la personnalité des citoyens européens, le CCPA s’intègre au droit commercial et vise à encadrer la relation entre consommateurs et entreprises. Or ce rattachement à la logique mercantile va assez loin puisque, même si le texte va indéniablement apporter un surcroît de protection de la vie privée en Californie, il acte aussi que les données personnelles constituent par défaut des biens marchandisables, ce qui ne correspond pas à l’approche européenne en la matière.

Avant l’adoption du RGPD, le Parlement européen avait d’ailleurs adopté en 2017 une résolution dans laquelle il affirmait que :

les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises.

Comme nous allons le voir, le CCPA traite cette question de la marchandisation des données personnelles d’une manière très paradoxale. En apparence, il donne aux individus des moyens de se protéger contre de telles transactions, mais dans les faits, il instaure cette protection comme une simple dérogation à un principe général de « commercialité des données ».

Plusieurs articles de presse insistent sur le fait que les grandes entreprises du numérique (Google, Facebook, Amazon, etc.), dont le siège est d’ailleurs souvent implanté en Californie, se sont opposées à l’adoption de ce texte en le dénonçant comme trop contraignant. Mais il me semble qu’en transformant les données personnelles en « marchandises fictives », le CCPA va fragiliser la position des individus face aux entreprises et, sans le dire explicitement, il pose les bases d’une consécration juridique de la « patrimonialisation » des données personnelles.

Des ressemblances superficielles avec le RGPD

Le CCPA confère aux consommateurs californiens une série de droits nouveaux :

• Droit de connaître leurs données personnelles collectées par des entreprises ;
• Droit de savoir si leurs données personnelles sont vendues ou transmises à des tiers ;
• Droit de s’opposer à la vente de leurs données personnelles ;
• Droit d’accès aux données personnelles collectées ;
• Droit de demander la suppression des données personnelles collectées ;
• Droit à ne pas être discriminé lorsqu’il est fait exercice de ces droits.

Ces prérogatives (droit à l’information, droit d’accès, droit d’opposition droit à l’effacement, etc.) ressemblent à ce que l’on appelle les « droits des personnes » qui figurent dans le RGPD (voir ci-dessous).

Néanmoins, il existe aussi des différences importantes dans le périmètre d’application de ces droits. Par exemple, comme le CCPA est un texte de droit de la consommation, il s’applique uniquement vis-à-vis des entreprises, mais pas dans les relations avec les administrations publiques, alors que le RGPD embrasse l’ensemble des rapports entre les individus et les responsables de traitement de données personnelles.

Mais la divergence la plus significative entre le RGPD et le CCPA réside à mon sens dans la place qu’ils accordent respectivement au consentement des individus.

Un rôle résiduel dévolu au consentement

Depuis le 1er janvier 2020, beaucoup de sites commerciaux américains ont ajouté sur leur page d’accueil un bouton « Do Not Sell My Data » (Ne vendez pas mes données) pour permettre aux internautes californiens de faire jouer le droit d’opposition que le texte leur reconnaît. Ils doivent pour cela activement faire savoir à l’entreprise qu’ils ne souhaitent pas que leurs données soient revendues en remplissant un formulaire. C’est à la fois la conséquence la plus visible de l’entrée en vigueur du texte et celle que je trouve la plus ambigüe.

Cela constitue à première vue un mécanisme de protection intéressant contre la marchandisation de données, mais il faut bien voir qu’il s’agit uniquement d’un « opt-out » (une option de retrait) et que, par défaut, si l’internaute ne fait rien, ses données pourront d’office être revendues. Et c’est là où je trouve que le CCPA est problématique, car sous couvert de protéger la vie privée, il acte surtout que les données personnelles constituent structurellement des marchandises, à moins que l’individu ne se manifeste, entreprise par entreprise, pour s’y opposer.

Imaginons un instant une loi qui prétendrait « protéger les malades » en instaurant cette règle : si vous ne voulez pas que les hôpitaux prélèvent votre sang quand vous allez vous faire soigner et le commercialisent ensuite, il vous suffit de leur indiquer en remplissant un formulaire « Ne vendez pas mon sang ». Par défaut, si vous ne le faites pas, vous serez saigné d’office et votre sang sera vendu. Tout le monde hurlerait au scandale et dénoncerait cette soit-disante « protection », mais c’est pourtant exactement ce que fait le CCPA avec les données…

Par ailleurs, dans cet article, on apprend qu’une société ayant mis en place le bouton « Do Not Sell My Data » au mois de décembre pour procéder à un test anticipé a constaté que 4% seulement des internautes avaient fait jouer leur droit d’opposition, ce qui signifie donc a contrario que 96% d’entre eux a tacitement accepté la marchandisation de leurs données, peut-être même sans s’en rendre compte…

La logique est inverse dans le RGPD, car les traitements de données personnelles doivent s’appuyer sur une des six bases légales prévues par le texte pour être licites. Dans un grand nombre d’hypothèses, les entreprises ont l’obligation de recueillir le « consentement libre et éclairé » des personnes pour collecter, traiter et transmettre des données à des tiers. Or dans le RGPD, ce consentement doit être explicite et prendre la forme d’un « opt-in », c’est-à-dire qu’à défaut d’une manifestation de volonté prenant la forme d’un acte positif, les individus sont réputés ne pas acquiescer aux traitements. C’est l’inverse dans le CCPA où l’opt-out est la règle et l’opt-in uniquement l’exception, le texte prévoyant notamment un consentement explicite pour le partage des données des enfants de moins de 15 ans.

L’ambiguïté de la notion de « vente de données »

Une autre question qui se pose avec le CCPA est de savoir à quoi renvoie exactement la notion de « vente de données ». Lorsqu’on parle de revente de données personnelles, on pense rapidement aux Data Brokers, ces véritables « courtiers de données personnelles », qui se sont faits une spécialité de rassembler de vastes ensembles d’informations – souvent dans des conditions assez douteuses – pour les revendre. Mais ce modèle est assez spécifique et il ne correspond pas exactement à ce que font des entreprises spécialisées dans la publicité ciblée, comme Facebook ou Google. Ces derniers ne « vendent » pas directement les données, au sens où ils les transfèreraient à des tiers, mais ils permettent à des annonceurs d’envoyer des publicités à des catégories déterminées d’usagers, à partir de profils constitués par la plateforme. Dans ces cas-là, peut-on parler de « vente » au sens propre du terme ?

Face à ces questions, le CCPA a choisi de retenir une définition large de l’acte de vente :

 “Sell,” “selling,” “sale,” or “sold,” means selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a consumer’s personal information by the business to another business or a third party for monetary or other valuable consideration.

« Vendre », « vente », « vendu » signifie vendre, louer, communiquer, divulguer, diffuser, transférer ou toute autre forme de communication orale, écrite, électronique ou autre des informations d’un consommateur par l’entreprise à une autre entreprise ou à un tiers en échange d’une contrepartie monétaire ou d’une autre forme d’avantage.

On voit donc que la définition est plus large que ce que le terme « vente » sous-entend couramment et elle englobe plutôt toutes les formes d’exploitation commerciale de données impliquant deux entités économiques. Mais cela n’empêche pas Facebook par exemple d’annoncer qu’il ne mettra pas en place le bouton « Do Not Sell My Data », car pour eux, leur modèle ne repose pas techniquement sur une vente de données. On peut s’attendre sur ce point à des recours en justice qui donneront lieu à des interprétations du texte par les juges.

Mais sur le fond, je trouve que c’est une erreur pour le CCPA d’accorder autant de place à la notion de « vente des données ». Car le recours à un tel terme a aussi une portée symbolique et si la loi se met à parler de « vente de données personnelles », alors elle sous-entend aussi que celles-ci sont des biens susceptibles de faire l’objet d’une propriété (même si les termes « propriety » ou « ownership » n’apparaissent pas explicitement dans le texte). Le terme de « vente » attire nécessairement le texte vers le terrain de la patrimonialité des données et c’est à mon sens une pente dangereuse.

Une porte ouverte à l’auto-marchandisation des données personnelles

En parlant de « vente de données personnelles », le CCPA admet donc que des entreprises puissent s’échanger des données comme des marchandises. Mais d’autres passages du texte vont même plus loin, en autorisant des transactions entre les plateformes et les individus eux-mêmes au sujet de leurs données. On glisse alors vers ce que certains appellent la « patrimonialisation des données personnelles« , c’est-à-dire le fait de reconnaître aux individus un droit de propriété sur leurs données personnelles pour leur permettre de les vendre aux sites Internet en échange d’une rémunération. C’est notamment une thèse défendue en France par certains cercles ultralibéraux, qui en ont fait un de leurs sujets de prédilection.

Pour protéger les consommateurs, le CCPA indiquent que les entreprises n’ont pas le droit de « discriminer » les clients qui font valoir vis-à-vis d’elles les droits que le texte leur reconnaît, notamment le droit d’opposition à la vente des données. Il est précisé que l’entreprise ne peut pas dans ce cas appliquer un prix différent pour les individus qui feraient jouer l’opt-out ou leur fournir une qualité de service dégradée. Ce sont des dispositions importantes, car on sait que Facebook, par exemple, a déjà envisagé de mettre en place une version payante de son service pour les utilisateurs ne souhaitant pas recevoir de publicités ciblées. Cela rejoint aussi pour le coup le RGPD, puisque les entreprises ne peuvent prétendre en Europe recueillir le consentement « libre » des personnes si elles les exposent à des conséquences négatives en cas de refus.

Mais si le CCPA interdit aussi les conséquences négatives, il admet les conséquences « positives », en prévoyant que les entreprises pourront prévoir des « incitations financières » pour encourager les individus à les autoriser à leur céder leurs données personnelles :

A business may offer financial incentives, including payments to consumers as compensation, for the collection of personal information, the sale of personal information, or the deletion of personal information.

Une entreprise peut offrir des incitations financières, y compris des paiements, aux consommateurs à titre d’indemnisation, pour la collecte d’informations personnelles, la vente de données personnelles ou la suppression de données personnelles.

De telles pratiques ont déjà cours aux États-Unis, puisque Facebook a déjà proposé de payer des utilisateurs 20 dollars par mois à condition d’installer un VPN (Facebook Research) qui constituait en réalité un mouchard et Google avait fait de même avec une application appelée Screenwise Meter. Le CCPA va donner une base légale à telles pratiques et les légitimer, en incitant d’autres entreprises à proposer des transactions à des utilisateurs pour récupérer leurs données contre paiement.

Là encore, la philosophie du RGPD est très différente, car comme j’avais eu l’occasion de le montrer dans un billet publié en 2018, il est difficile d’organiser sur la base du RGPD une vente par les individus de leurs données contre rémunération. Cela tient notamment au fait que les individus ne perdent jamais le droit à contrôler les finalités pour lesquelles les données ont été collectées et qu’ils peuvent toujours retirer leur consentement une fois qu’ils l’ont donné. Dans ce contexte, une « vente » restera toujours forcément très fragile et il est sans doute plus juste de dire que le RGPD ne permet pas de faire comme si les données personnelles étaient des biens pouvant être marchandisés.

En route vers les données comme « marchandises fictives »

Vous l’aurez compris, je reste assez dubitatif vis-à-vis de ce California Consumer Privacy Act. Il est sans doute intéressant de voir un État aussi important que la Californie adopter un texte pour mieux protéger les données personnelles et cela peut contribuer à ce qu’une législation soit un jour votée au niveau fédéral. Mais la Californie n’est précisément pas n’importe quel État : c’est là qu’on trouve le siège de la plupart des grandes entreprises géantes du numérique et où s’est forgé l’esprit de « l’utopie numérique » dont a si bien parlé Fred Turner. L’ambiance intellectuelle de la Silicon Valley est imprégnée de « cyber-libertarianisme« , une idéologie formant un terreau tout à fait compatible avec la patrimonialité des données personnelles. Ce n’est d’ailleurs sans doute pas un hasard si Jaron Lanier – un des principaux défenseurs de cette thèse – est une figure éminente de ce paysage californien.

On me répondra peut-être que la différence entre le CCPA et le RGPD est en pratique assez ténue. En Californie, il faudra désormais que les internautes cliquent sur le bouton « Do Not Sell My Data » pour s’opposer à la commercialisation de leurs données. Chez nous – où règne en principe l’opt-in et pas l’opt-out -,nous passons désormais notre temps à cliquer sur les bandeaux « J’accepte » que les sites internet utilisant des cookies publicitaires ont mis en place pour gérer cette question du consentement préalable (la plupart ayant d’ailleurs recours aux services de l’entreprise américaine QuantCast dont le siège est à… San Francisco !). Est-on bien certain que plus de 4% des citoyens européens n’acceptent pas activement les cookies publicitaires ? Il serait intéressant (mais sans doute aussi déprimant…) d’avoir des chiffres à ce sujet.

L’opt-out est même d’ailleurs parfois carrément bafoué par certains sites Internet, qui ne laissent pas le choix aux internautes que d’accepter les cookies publicitaires (voir un exemple ci-dessous), avec la complaisance de la CNIL qui a décidé de reporter d’un an les règles prévues par le RGPD en matière d’acceptation des cookies…

Mais pour moi, la différence essentielle est ailleurs. Que les données personnelles – en Europe comme aux États-Unis – fassent l’objet d’une exploitation économique débridée, dans des conditions souvent choquantes, c’est une réalité indéniable. Mais le RGPD constitue encore une sorte de « digue symbolique », qui continue à reconnaître la protection des données comme un droit fondamental de la personne. Le CCPA, au contraire, fait sauter cette digue, en admettant pleinement le paradigme des données comme marchandises. En cela, il institue les données personnelles comme « marchandises fictives » et c’est tout sauf anodin.

Cette expression de « marchandises fictives » nous vient de l’historien Karl Polanyi qui, dans son ouvrage « La Grande Transformation » explique comment l’avènement du capitalisme industriel a eu lieu au début du 19ème siècle lorsque trois facteurs de production ont été instaurés par le droit comme des « marchandises fictives » : la Terre, le Travail et la Monnaie. Cette étape fut décisive pour constituer l’économie de marché en une sphère autonome, à même de se « désencastrer » des normes sociales qui la contenaient. Depuis, le capitalisme industriel s’est transformé en capitalisme cognitif et ce dernier a dégénéré en un capitalisme de surveillance, dont les grandes entreprises numériques sont les instruments avec la complicité des États. Assez logiquement, la nouvelle frontière que ce système cherche à atteindre consiste en la transformation des données personnelles en « marchandises fictives », ce qui ne peut s’opérer que si le droit organise cette fiction.

De ce point de vue, alors que le RGPD – malgré ses lourdes imperfections – constitue au moins encore une forme de résistance au développement du capitalisme de surveillance, ce n’est pas le cas du CCPA, qui s’apparente plutôt à une simple mesure d’accompagnement et à une résignation face à sa logique.