Quelle « vie privée à l’horizon 2020 » ?
Paralipomènes - Michèle Battisti, 9/12/2012
Une vie privée qui disparaît dans le web social ? Les algorithmes prédictifs des Big Data, un danger ? Subir les modèles d’affaire fondés sur les données personnelles ? Jusqu’où intervenir pour protéger ? Telles furent les questions soumises à un large éventail d’experts français invités par la CNIL le 30 novembre 2012. Cette conférence ayant été introduite par une publication, enregistrée, livetweetée (#vp2020), suivie par des comptes rendus (1) (2) voire par des actes, ce billet ne reprend que quelques éléments retenus d’une journée extrêmement riche.
De quoi parle-t-on ? De la vie privée, titre de la conférence ? De la Privacy américaine, qui vise à se protéger de l’Etat et dont « la philosophie [sans surprise] est fondée sur la libre circulation de l’information » ? Des données à caractère personnel, l’objet de la loi Informatique, fichiers et libertés de 1978, notion plus large que la vie privée ? S’il convient de clarifier voire de revisiter les notions de sphères privées et publiques, il conviendrait peut-être aussi, a-t-on souligné, de changer de braquet en veillant à protéger les libertés publiques (et non la seule vie privée, plus réductrice), non pas uniquement en se protégeant des acteurs économiques (pourtant seul objet du projet de Règlement européen qui vise, sans surprise, à créer « un climat de confiance numérique »), mais aussi, ne serait-ce qu’en raison de la « porosité entre objectifs économiques et sécuritaires » (oui, le traçage des livres ou la censure), des États [1]?
La notion de « vie privée » varie selon les époques et les territoires, voire selon la sensibilité de chaque personne et des contextes : un constat d’une extrême banalité. Mais force est de constater que le comportement du public a changé et que l’exposition de soi (héritage de la culture médiatique des années où le fameux 1/4 heure de célébrité serait accordé à tous ?) donne lieu à de nouvelles formes d’expressivité (on parle d’« extimité »). Un internaute naïf face au marché ou à l’Etat, ou un internaute sachant construire une stratégie pour s’exposer, se mettre en scène et se créer progressivement un univers de relations ? N’y a-t-il vraiment plus de vie privée sur les réseaux, comme l’affirmait Marck Zuckerberg ? La maîtrise ne serait-elle qu’une Illusion de part et d’autre alors que le mensonge fait partie de la stratégie des internautes pour pallier un manque de confiance ? Exiger plus de transparence par les acteurs sur leur politique de gestion des données personnelles pour une exploitation plus efficace des données (« Privacy is good for business ») ? Ou donner la possibilité à l’internaute de se battre via des class actions, procédure inexistante aujourd’hui en France ? Les deux sans nul doute.
Le comportement, la relation, voilà l’objet de toutes les attentions des nouveaux acteurs économiques que sont Google, Facebook et les autres. Voilà qui serait monétisable. C’est déjà le cas d’ailleurs, bien sûr, dans la possibilité d’utiliser des services sans devoir les payer. Une rémunération supplémentaire à envisager? Régulée, à l’image des conditions générales d’utilisation (CGU) des sites web, comme n’importe quelle autre propriété, par des conditions d’utilisation des données personnelles définies par chaque internaute ? « La privacy se négocie », certes, mais voilà qui peut laisser sceptique, en tout cas laisse imaginer que certains sauront plus habilement que d’autres se forger une identité numérique, les diverses « zones de confiance » préservant l’intégrité de leur personne. D’où le poids devant être donné à l’éducation numérique pour certains, mais qui serait inutile, donnée par des parents ou des enseignants (la vie privée n’est-elle pas « un problème de vieux cons » ?), parce que normes sociales sur ce que l’on peut partager ont changé (notion de publitude).
Qui est responsable ? L’internaute qui s’expose et à qui il faudrait inculquer une éducation numérique ? Les employeurs, les professeurs, les parents, la police, … qui reprennent des données décontextualisées certes, mais dans un environnement où les frontières publiques et privées sont brouillées, autrement dit ces tiers qui se sont immiscés dans des zones qui ne leur étaient pas ouvertes ? Le préjudice a plus de poids que l’intimité, sans doute, mais l’intimité prend indéniablement ici une autre dimension. Pour se prémunir, peut-on vraiment gérer ses donnés sur les réseaux, les modifier, les retirer ? Quelle est la valeur du consentement aux conditions d’utilisation de Facebook, surtout s’il est tacite ? Est-il « éclairé » ? Qui est propriétaire des données, question loin d’être anodine si on retient par ailleurs que Facebook vend ses données aux chercheurs américains et que ce marché serait fermé aux chercheurs français.
Être propriétaire de ses données, l’occasion de faire une analogie avec le droit d’auteur dans la dissociation faite entre propriété intellectuelle et propriété physique des données. Mais aussi parce que le droit des données personnelles protège la personnalité, un droit d’exister en ligne, proche du droit moral, et un droit de monétisation des données, proche du droit patrimonial. Ou encore parce les données à caractère personnel, pour répondre au souci de transparence notamment, à l’image des licences Creative Commons, pourraient être libérées, voire intégrer les biens communs, ce qui devrait être encadré (une commission d’éthique de la CNIL ? Le G29 au niveau européen ?) pour éviter l’appropriation par les acteurs économiques ou, si l’on prend pour exemple l’obligation de conserver les données d’identification, par les États.
Certes, la donnée brute, celle que l’on trouve dans les Big Data, n’est pas forcément personnelle, et n’a de valeur que dans les relations établies avec d’autres données. S’adresser à l’internaute qui répond à 2 ou 3 critères ressemble sérieusement à du profilage,. Une donnée anonyme qui, par croisement, permet de retrouver l’internaute (s’il s’agit du code IP par exemple), n’est-elle pas une donnée indirectement personnelle, donc couverte par la CNIL ? S’adresser au public n’est-il pas un critère permettant aux juges français d’être compétents ? Mais se protéger des intrusions, n’est-ce pas aussi se priver des avantages du réseau ? Jeu toujours, mais où l’on peut perdre.
Vers une dictature des algorithmes ou quand les signaux (via des capteurs de plus en plus nombreux) génèrent du sens. La faille se trouve ici dans la discrimination sur le comportement, elle aussi encadrée par la loi. Plus besoin de catégorisation dans un monde qui favorise le culte de la personnalité, qui nous gouverne en anticipant nos besoins, a-t-on fait remarquer. Dans ce monde qui génère un conformisme, plus besoin de raconter : « les données parlent à notre place », « il n’y a plus de place pour le sujet ». Vraiment ? Les réseaux ne sont-ils pas « sociaux » ? Chats, partage, certes différents du monde physique, sont légion. On y trouve d’autres récits. Le paradoxe est évident : une personnalisation à outrance sans nous demander notre avis, mais et une « vitalité collective et individuelle » qui serait en jeu. Pas sûr. Et si on en jouait ?[2] Mais à ce jeu on n’est pas tous égaux et la capacité à se forger une identité numérique est une nouvelle cause de fracture sociale.
Et si l’approche juridique était obsolète ? La notion de finalité de la collecte, par exemple, imposée par la loi Informatique et libertés, alors que les Big Data sont une masse de données collectées sans finalité précise, dont l’utilité apparaît ensuite. Plus pertinent serait alors le poids accordé à l’accountability, qualifiée « d’antidote », où obligation de rendre des comptes après coup sur l’utilisation des données, autrement dit une sorte d’opt-out (comme en droit d’auteur), via sans doute des tiers de confiance, souvent évoqués. On retrouve l’opt-in, en revanche, avec le « privacy by design », où lorsque la technique répond aux questions en intégrant les « dès le début les exigences en matière de protection de la sphère privée/protection des données et intégrer les outils de protection directement dans le produit ». Quant au droit à l’oubli, souvent évoqué, on le trouve dans la durée de conservation limitée à la finalité du projet et, compatible avec le « devoir de mémoire », il ne se traduit pas par la suppression d’information sur simple demande.
Régulation ou autorégulation ? Un couteau suisse sans doute, puisque ont été évoqués tour à tour : une régulation avec une CNIL « agent ralentisseur », une riposte judiciaire « à travailler » en intégrant les normes comportementales et techniques et les lois du marché, un effort de pédagogie auprès de l’usage final, des entreprises et (mais oui) des États. Mais aussi donner au public les moyens d’agir via des class actions, la régulation sur les réseaux par à-coups, au gré des conflits provoqués par les incidents (et sur ce point Facebook est un exemple) où l’action des utilisateurs se traduit par un « rétropédalage », le poids « des images écornés par des actions judiciaires » (Yahoo ! n’a-t-il pas abdiqué à pour la vente des insignes nazis sur sa plate-forme ?), l’arme de la taxation avec une fiscalité moins forte pour « ceux qui ouvrent leurs données », rendant ainsi leur politique plus transparente, …
Un jeu sur plusieurs niveaux pour un enjeu très fort, et un débat à poursuivre ….
Ill. Personal Data. Highwaycharlie. Flickr CC by-nd
Notes
[1] Le fichier Safari imaginé par l’Etat français pour attribuer un identifiant n croisant tous les fichiers administratifs a été à l’origine de la loi Informatique, fichier et libertés de 1978. « Safari ou la chasse aux Français », JM Manach, Rewriting, 11 février 2008
[2] Facebook aux prises avec les fausses identités, Somini Sengupta, The New York Times, 7 décembre 2012
Références
Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 25 janvier 2012.Eur-Lex
L’avenir de la protection de la vie privée. Contribution conjointe à la consultation de la Commission européenne sur le cadre juridique du droit fondamental à la protection des données à caractère personnel Adoptée le 1er décembre 2009, Groupe de travail «Article 29» sur la protection des donnée. Europa.
Sur Paralipomènes
Analyse de l’ouvrage Informatique, libertés, identités écrit par Daniel Kaplan
Les données personnelles : je, jeu et enjeu, Enssib : 29 juin 2011