Le 30 mars dernier, l’Association des Archivistes de France (AAF) organisait aux Archives nationales une journée d’études sur le thème :«Open Data et protection des données personnelles : où en sommes-nous ?». J’avais été invité lors d’une première partie à faire un point sur le cadre légal de l’ouverture des données publiques (voir la vidéo à la fin de ce billet), mais c’est surtout la seconde partie de cet événement qui a retenu mon attention, notamment une table-ronde consacrée aux conséquences de l’entrée en vigueur du RGPD (Règlement Général de Protection des Données) sur les activités d’archivage.

Je vous recommande en particulier l’intervention de Bruno Ricard du SIAF qui a fait un point détaillé sur les tensions entre la logique du RGPD et les principes de fonctionnement des archives, à travers la question de l’équilibre entre droit à l’oubli et droit à la mémoire.

Un risque d’amnésie collective ?

Il faut en effet savoir que les archivistes ont dû batailler durant tout le processus d’adoption du RGPD au niveau européen pour faire en sorte que certains de ses principes ne s’appliquent pas aux archives publiques, une fois qu’elles sont devenues définitives. En effet, le règlement consacre au profit des individus une série de droits, comme le droit d’opposition, le droit à la rectification ou le droit à l’effacement (appelé aussi « droit à l’oubli » dans le langage courant, à ne pas confondre avec le droit au déférencement par les moteurs de recherche), qui sont susceptibles d’avoir des effets contre-productifs s’ils sont appliqués aux archives définitives. Le propre des documents d’archives est en effet d’avoir une « valeur authentique », notamment pour établir des preuves en vue du bénéfice de droits, et les services d’archives conservent aussi les sources qui permettent aux historiens de travailler.

Autoriser les individus à faire jouer leur droit à l’effacement reviendrait à leur permettre de disparaître des documents d’archives et le droit à la rectification leur ouvrirait la possibilité de demander aux services de procéder à des modifications sur des documents qui étaient jusqu’alors conservés dans leur intégrité. Par définition, des documents d’archives définitives comportent en effet généralement des inexactitudes, puisqu’ils ne sont plus actualisés, et il est possible que des erreurs aient été commises par les administrations dès l’origine, mais elles ont alors une valeur historique en tant que telle et demander leur suppression reviendrait dans une certaine mesure à « refaire l’histoire ».

C’est pour éviter de telles conséquences que la profession des archivistes a demandé à pouvoir bénéficier de dérogations spéciales, lorsque des traitements de données à caractère personnel sont réalisées « à des fins archivistiques d’intérêt public » ou « à des fins de recherche scientifique, historique ou statistique ». En 2013, l’AAF était intervenue dans le débat public pour faire valoir ces revendications en mettant en avant un risque « d’amnésie collective » :

S’il est évident que la réu­ti­li­sa­tion des infor­ma­tions per­son­nel­les à l’insu des citoyens et à des fins com­mer­cia­les, qui est lar­ge­ment faci­li­tée par les tech­ni­ques infor­ma­ti­ques, doit être com­bat­tue par tous les moyens, la des­truc­tion sys­té­ma­ti­que de ces don­nées ou leur ano­ny­mi­sa­tion pour éviter des déri­ves revient en revan­che à jeter le bébé avec l’eau du bain. Comme si, plutôt que de ren­for­cer l’action des ser­vi­ces d’archi­ves qui assu­rent déjà une conser­va­tion sécu­ri­sée de notre patri­moine et l’accès à celui-ci dans des condi­tions res­pec­tueu­ses des liber­tés indi­vi­duel­les, l’Europe, pour notre bien, nous impo­sait une amnésie collective.

Quelles dérogations pour les services d’archives ?

Non sans mal, les archivistes ont réussi à obtenir gain de cause lors des négociations avec les autorités européennes, sans pour autant que ces dérogations soient inscrites « dans le dur » du RGPD. Le texte prévoit seulement la possibilité pour les Etats d’implémenter au niveau national de telles dérogations, à charge pour eux d’adopter des dispositions législatives en ce sens. C’est d’ailleurs ce qui est en train de se passer en France, avec la loi sur la protection des données personnelles que le Parlement est en train de finir d’adopter pour mettre en conformité le droit interne avec le RGPD.

Celle-ci contient un article consacré aux archives publiques, formulé comme suit :

Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public […], les droits visés aux articles 15 [accès], 16 [rectification], 18 [limitation du traitement], 19 [notification], 20 [portabilité] et 21 [opposition] du règlement (UE) 2016/679 ne s’appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

Il faut noter que ces dérogations n’ont pu être obtenues que de haute lutte et de justesse, puisque le Sénat notamment avait introduit dans le texte initial des amendements qui auraient pu rétablir le droit à la rectification sur les documents d’archives.

Droit à la mémoire et solidarité inter-générationnelle

Lors de son intervention, Bruno Ricard a fait un commentaire de cette évolution qui m’a paru très intéressant. Il a en effet expliqué qu’avant l’adoption du RGPD, c’était un « droit à la mémoire » qui prévalait de manière implicite, dans la mesure où il était inhérent à la mission des services d’archives de pouvoir traiter des données à caractère personnel afin de constituer des archives définitives. Une conciliation avec les droits des individus s’opérait par le biais des délais de communication des différentes catégories de documents fixés par le Code du Patrimoine, mais on pouvait bien dire que le « droit à la mémoire » s’appliquait comme un principe général.

Avec le RGPD, c’est à présent le droit à l’oubli qui est devenu le principe, tandis que le droit à la mémoire n’est plus qu’une exception, reposant sur de simples dérogations que les Etats-membres de l’Union peuvent choisir d’implémenter ou non. Or pour Bruno Ricard, cette inversion entre le principe et l’exception traduit le fait que le droit fait à présent primer l’intérêt des personnes vivantes par rapport à celui des générations futures, à qui sont transmis les documents d’archives définitives pour qu’elles puissent accomplir leur « travail de mémoire ».

Cette manière de présenter les choses me paraît faire résonance avec l’idée d’un « droit social des données » que j’essaie de creuser depuis le début de l’année sur ce blog. En effet, le « droit à la mémoire » est en réalité la manifestation d’une solidarité inter-générationnelle : on admet que les droits des individus à un instant t puissent être limités dans une certaine mesure afin de préserver les droits des générations futures. Ici cette solidarité joue pour l’avenir, alors que pour d’autres types de droits sociaux, comme le droit à la retraite par exemple, la solidarité s’exerce dans l’autre sens, dans la mesure où les cotisations versées par la génération présente servent à payer les retraites de la génération précédente. D’autres droits sociaux (assurance-chômage, assurance-maladie) manifestent de leur côté une solidarité intra-générationnelle par le le biais d’une mutualisation des risques.

Les tensions qui ont éclaté lors de l’adoption du RGPD à propos des archives publiques témoignent aussi de l’opposition entre les droits individuels et les droits collectifs. Le « droit à la mémoire » a en effet une nature collective puisqu’il est le droit d’une société à se souvenir de son passé, tandis que le « droit à l’oubli » du RGPD est un droit individuel destiné à protéger la vie privée. Comme j’ai eu l’occasion de l’exprimer plusieurs fois sur ce blog, le droit des données personnelles est marqué par un « paradigme individualiste » que le RGPD va tendre encore à renforcer. Il n’est donc pas très surprenant que ce texte fasse primer les droits individuels sur les droits collectifs, en réduisant ces derniers à de simples dérogations à un principe général.

Dimension collective des données

Néanmoins, le fait même que des dérogations au bénéfice des archives restent encore possibles et qu’elles aient pu être mises en oeuvre au niveau français constitue aussi la manifestation d’une autre « lecture » possible du droit des données personnelles. Le « droit à la mémoire » que la loi française admet fait à mon sens partie ce que que l’on peut appeler une forme de « protection sociale des données » et c’est aussi une reconnaissance indirecte de la dimension collective des données à caractère personnel, basée sur un principe de solidarité.

Il faut ici entendre le mot « solidarité » au sens fort du terme, comme la capacité d’une société à « tenir ensemble » et à maintenir sa cohésion dans le temps, en dépit du jeu des forces de désintégration qui la travaillent constamment. Comme l’explique bien Olivier Ertzscheid sur son blog, nous vivons aujourd’hui dans un contexte où la manipulation des documents sous forme numérique est devenue si aisée que nous avons plus que jamais besoin de faire contrepoids en nous dotant de moyens d’arriver à « authentifier » des documents et à les conserver dans une forme stable sur le long terme :

Que perdons-nous lorsque la valeur de preuve des documents en circulation dans une société s’effondre un peu comme s’effondreraient subitement des valeurs boursières ? Nous perdons la capacité de faire société. Ou à tout le moins la capacité de faire société autrement que sur des valeurs oscillant au mieux entre suspicions caractérisées et spéculations infondées. S’il est de plus en plus difficile de « croire » l’autre, s’il est donc de plus en plus délicat de lui accorder sa « confiance », si nous ne sommes plus capables que d’accorder une valeur de preuve à des documents en fonction de l’espace numérique dans lequel ils sont échangés, alors nous perdons la capacité de faire histoire commune, mémoire commune, société commune. Et alors le pire devient possible.

Le droit à l’oubli n’est bien entendu pas illégitime en lui-même, mais sa portée doit être limitée pour que les archives définitives puissent rester ce « Commun de mémoire » qu’elles ont toujours été et qu’elles conservent ce rôle pour les documents numériques natifs.

***

Voici par ailleurs ci-dessous la vidéo de l’intervention que j’ai faite lors de cette journée d’études à propos du cadre juridique de l’Open Data en France, avec un focus particulier sur l’ouverture des données culturelles :

Voilà bientôt une dizaine de jours qu’une polémique a éclaté à propos de l’idée de faire voyager La Joconde en France. Le gouvernement semble envisager cette possibilité en dépit des avis défavorables des experts eu égard aux risques de détérioration de l’oeuvre et au coût exorbitant d’une telle opération (30 millions d’euros !). C’est pourtant une des propositions qui ressortent du plan « Joconde, etc… Culture près de chez vous » dont le lancement a été annoncé à la fin du mois dernier par la Ministre de la Culture Françoise Nyssen.

L’idée générale consiste à promouvoir une série d’actions afin de lutter contre le phénomène des « zones blanches » ou « déserts culturels », à savoir les 86 portions du territoire national les moins bien pourvues en équipements culturels (Outre-Mer, Loiret, Eure, Moselle, etc.). Pour remédier à cette situation, le plan comporte une liste de mesures visant à délocaliser des activités culturelles, avec un focus particulier sur la mise en circulation des collections des musées :

 Un catalogue de chef d’œuvres « iconiques » et déplaçables doit être élaboré par un expert. Ce « commissaire général » dont le nom n’a pas encore été annoncé devra lister les « désirs » des territoires culturellement peu pourvus en musées ou théâtres (des « zones culturelles blanches »), et voir ensuite avec les grands musées nationaux concernés quelles toiles et sculptures peuvent être déplacées sans risque. Les chefs d’œuvre pour lesquels tout mouvement est déconseillé, en raison de leur grande fragilité, seront numérisés et présentés via des écrans dans 200 nouvelles « Microfolies », ces petits musées mobiles et numériques, au nombre d’une dizaine actuellement.

Au-delà du plan en lui-même, il est important de relever que son annonce a constitué pour Françoise Nyssen la première occasion depuis son entrée en fonction de mobiliser la notion de « droits culturels » pour justifier la mise en place d’une politique. Elle a notamment déclaré lors du discours de présentation :

Les droits culturels ne sont pas des droits accessoires, il faut faire vivre la culture loin des dorures.

Or il paraît assez périlleux de recourir à une telle notion au soutien de ce genre de mesures et il me semble même que cette opération comporte un risque de « gadgétisation » des droits culturels qu’il convient de contrer immédiatement pour ne pas voir leur potentiel émancipateur se perdre dans les sables de la communication et de la récupération.

Et si on prenait les droits culturels au sérieux ?

Il faut tout d’abord rappeler que les droits culturels ont fait leur entrée dans le droit français avec la loi NOTRe adoptée en 2015 :

La responsabilité en matière culturelle est exercée conjointement par les collectivités territoriales et l’Etat dans le respect des droits culturels énoncés par la convention sur la protection et la promotion de la diversité des expressions culturelles du 20 octobre 2005.

Les droits culturels sont issus d’un riche corpus de textes internationaux relatifs aux droits fondamentaux. L’appellation a fait son apparition dans la Déclaration Universelle des Droits de l’Homme de 1948 et se retrouve dans le Pacte international relatif aux droits économiques, sociaux et culturels de 1976 sous la forme d’un « droit à participer à la vie culturelle« . Plusieurs textes ont ensuite précisé les contours des droits culturels, comme la Déclaration universelle sur la Diversité Culturelle de 2001 ou la Déclaration de Fribourg qui y rattache les droits à l’identité culturelle, à l’accès au patrimoine, à l’éducation, à l’information, etc.

Or le « droit de participer à la vie culturelle » n’est pas un concept à prendre à la légère. Il porte en lui l’idée d’une participation citoyenne à la définition et à la mise en oeuvre des politiques culturelles, avec une attention particulière portée à l’effectivité et à l’appropriation des droits fondamentaux. Cette vision exigeante est notamment défendue en France par l’UFISC (Union Fédérale d’Intervention des Structures Culturelles), qui a accompli un remarquable travail pédagogique autour des droits culturels. Cette fédération d’acteurs de l’économie solidaire a notamment produit une note introductive qui met bien en lumière la dimension politique et émancipatrice des droits culturels :

Les droits culturels peuvent être définis comme les droits et libertés d’accès et de participation aux ressources nécessaires au processus d’identification culturelle développé tout au long de sa vie. Chaque personne est reconnue comme être de culture.

[…]

Les droits culturels impliquent la discussion des libertés pour faire humanité ensemble. En prenant comme référence les droits humains universels, l’identité culturelle n’est jamais figée. Au contraire, elle progresse vers plus de liberté en étant attentive aux différends, en entendant les autres identités dans leur liberté. La personne en négocie les interactions pour accorder plus de libertés aux autres et renforcer sa propre autonomie de personne libre et délibérante.

[…]

Combinant les impératifs de participation citoyenne, de recherche fondamentale et appliquée, tout autant que de partage des savoirs, des pratiques, des croyances et des imaginaires, les textes porteurs du référentiel des droits culturels nous rappellent les objectifs de progrès humain, dans toutes ses déclinaisons sociales, qui font le socle d’un bien vivre ensemble et de justice sociale. Considérant que la culture, tant par sa dimension patrimoniale que par sa dimension créatrice, constitue un commun de l’Humanité, il est préconisé l’affirmation d’une politique publique pour une société humaniste, fondée sur la dignité humaine et les relations entre les personnes. La participation des personnes, la concertation avec la société civile, pour sa construction et sa mise en œuvre dans un principe d’ascendance sont alors déterminantes.

Une logique descendante et condescendante

Or qu’en est-il de cette dimension de participation citoyenne, de concertation avec la société civile et d’ascendance dans le plan « Culture près de chez vous » ? Difficle d’en trouver la moindre trace, et notamment dans la partie relative à la mise en circulation des oeuvres des musées.

On nous explique en effet que la liste des « oeuvres déplaçables » sera établie par « un expert » chargé de sonder les « désirs » (!!!) de territoires identifiés comme « déserts culturels ». Cette appellation – tout comme celle de « zones blanches » – est déjà en elle-même franchement condescendante, puisqu’elle sous-entend que les populations habitant ces territoires défavorisés seraient « dépourvus de culture » et qu’il faudrait combler ce « vide » en leur apportant certaines des oeuvres emblématiques des grands musées parisiens…

Mais c’est surtout sur la méthode que le bât blesse, car cette logique « d’expertise » visant à nommer un « commissaire général » pour établir à la place des individus quels sont leurs « désirs » en matière de culture reste terriblement descendante. Elle paraît aux antipodes de ce que sont les droits culturels en tant qu’ils impliquent la participation effective des personnes à la détermination des politiques culturelles qui les concernent.

Il y a quelque chose dans cette démarche qui relève de la « violence symbolique », au sens où Bourdieu entendait cette notion, dont on sait que les musées ont toujours été des vecteurs privilégiés (illustration récente). N’y a-t-il pas même une certaine forme de « colonialité » dans cette idée d’envoyer des oeuvres emblématiques de la « culture légitime » dans des zones étiquetés comme des « déserts culturels » ?

Ces circulations d’oeuvres risquent fort de ressembler à des « expositions coloniales à l’envers », où ce n’est plus un pavillon colonial qu’on installe dans la capitale, mais la capitale qui consent à expédier dans les marches de l’empire des oeuvres identifiées à LA culture… Pouvait-on au final imaginer quelque chose de moins compatible avec l’esprit des droits culturels ?

Le numérique employé à contre-sens…

Le volet numérique du plan « Culture près de chez vous » n’est pas en reste, tant il paraît lui aussi en décalage avec la philosophie des droits culturels. Il est pourtant indéniable que la numérisation des oeuvres pourrait constituer un moyen de favoriser la diffusion et l’appropriation du patrimoine par le plus grand nombre, mais encore faudrait-il pour cela utiliser les technologies dans un sens qui « augmente » les droits des personnes dans leur rapport à la culture. Or le Ministère semble plutôt vouloir utiliser le numérique surtout pour « imiter » l’environnement physique, notamment à travers cette idée de « Micro-Folies » :

Françoise Nyssen veut soutenir le déploiement de deux cent Micro-folies (dont cinq existent déjà et quarante-sept sont planifées) sur tout le territoire. De manière pérenne ou tournante, ces espaces aménagés dans des lieux existants (mairies ou médiathèques) donnent accès via une technique numérique de haute précision aux plus grandes œuvres d’une douzaine d’institutions nationales (Louvre, Centre Pompidou, Quai Branly, Orsay, Institut du monde arabe, Grand Palais, château de Versailles, mais aussi Opéra de Paris ou Festival d’Avignon…). Des ateliers dans l’esprit fablab y sont associés.

Ce genre de propositions me fait penser à des gens qui se féliciteraient d’arriver à faire rouler des avions, alors qu’on peut parfaitement les faire voler ! Car si des reproductions en haute définition des oeuvres sont réalisées, pourquoi en confiner la diffusion dans ces « Micro-Folies » ? Ce dispositif continue en effet à reproduire la logique « d’offre culturelle » et de « sélection par des experts » dont le numérique pourrait au contraire nous affranchir. Pourquoi ne pas au contraire mettre ces reproductions à disposition de tous sur Internet pour en favoriser la libre réutilisation partout en France (et au-delà !) ?

Plusieurs grandes institutions culturelles étrangères comme le Rijks Museum d’Amsterdam, le Getty Museum de Londres, le Metropolitan Museum de New York ou récemment la Finnish National Galery ont déjà fait ce choix de la libre diffusion des oeuvres du domaine public qu’elles numérisent. Une telle démarche reste au contraire encore très rare en France parce que les institutions culturelles imposent en général de sévères restrictions à la réutilisation des oeuvres numérisées. Si je prends à nouveau l’exemple de la Joconde, on constate sur le portail de la RMN (Réunion des Musées Nationaux) qui en diffuse la reproduction numérique, que celle-ci est soumise à un copyright et ne peut pas être réutilisée sans s’acquitter d’une redevance.

Or l’an dernier, une bibliothèque a très bien montré comment la liberté de réutilisation pouvait être mobilisée intelligemment pour favoriser l’accès au patrimoine sur un territoire. La médiathèque de Pézenas dans l’Hérault a eu l’idée de récupérer une sélection d’images mises à disposition par le Metropolitan Museum pour réaliser l’exposition « MET In’ Out' » :

Nous avons donc sélectionné 65 œuvres parmi toutes celles disponibles, afin de construire une exposition cohérente, installée sur 4 médiathèques, et ce pendant 4 mois. Le public est invité à admirer les œuvres bien entendu, comme dans toute exposition, mais nous avons rajouté un petit « plus » : Tout le monde peut repartir avec les œuvres de son choix. Trois options s’offrent à ceux qui souhaitent repartir avec les œuvres sous le bras : soit venir avec son papier -du papier épais, genre papier aquarelle- et repartir gratuitement avec l’œuvre imprimée, soit nous fournissons la reproduction déjà imprimée à prix coûtant, soit 30 centimes d’euro. La dernière possibilité est de charger toute l’exposition sur clé USB à l’accueil des médiathèques.

Le paradoxe, c’est qu’il faille se tourner vers des images diffusées par une institution américaine pour monter ce type d’initiatives, alors qu’il serait quasiment impossible de trouver l’équivalent en France, hormis de trop rares exceptions (ici ou là). Or ces restrictions à la réutilisation des oeuvres du domaine public numérisées sont des entraves à l’exercice plein et complet des droits culturels. Même en multipliant leur nombre, les « micro-folies » que le Ministère veut favoriser ne permettront pas de remédier à ces limites, car le concept reste encore ancré dans le paradigme d’une « rareté artificielle » dont le numérique aurait justement l’intérêt de nous libérer.

Si au contraire ces images étaient librement diffusées sur Internet, une myriade d’acteurs – publics ou privés – pourraient s’en emparer pour faire vivre le patrimoine sur les territoires, avec la possibilité de choisir par eux-mêmes une sélection sans avoir à passer par le filtre « d’experts » et avec la liberté de déterminer comment les réutiliser sans qu’on le pense à leur place. Voilà comment le numérique pourrait venir « outiller » les droits culturels en concrétisant le « droit de participer à la vie culturelle » qu’ils comportent.

Se donner les moyens des droits culturels

Pour toutes ces raisons, il me semble que le plan « Culture près de chez vous » traduit une forme de « gadgétisation » des droits culturels et il est assez malvenu que cette notion ait été pour la première fois employée publiquement par la Ministre dans un tel contexte. Car si les droits culturels sont inscrits à présent dans la loi française, nous sommes entrés dans une phase très importante où leur interprétation va peu à peu de se fixer à travers la manière dont les pouvoirs publics vont les implémenter. Françoise Nyssen a beau déclarer que les droits culturels ne «sont pas des droits accessoires», ils occupent au contraire une place tout à fait résiduelle dans ce plan, parce qu’on a méthodiquement « oublié » en cours de route leur dimension démocratique et citoyenne.

Mais ce sont aussi les financements alloués à cette opération qui trahissent la faiblesse des ambitions ministérielles à l’endroit des droits culturels. On annonce des crédits supplémentaires de l’ordre de 6,5 millions d’euros par an qui paraissent faibles, surtout si on les met en rapport avec les 30 à 35 millions que coûterait le seul déplacement de la Joconde à Lens ! Même si le Ministère parle d’une augmentation jusqu’à 10 millions par an d’ici à 2022, cela restera encore dérisoire comparé à d’autres mesures. A lui seul, le fameux Pass Culture (idée de donner à chaque jeune de 18 ans 500 euros pour des achats culturels) devrait coûter la bagatelle de 425 millions d’euros par an ! Or on espère que Françoise Nyssen ne se risquera pas à invoquer les droits culturels pour justifier la mise en place de ce Pass Culture. Car celui-ci revient purement et simplement à amputer une part considérable des crédits publics alloués aux politiques culturelles pour les transformer en une méga-subvention aux industries du secteur dont l’allocation sera décidée par les mécanismes du marché ! Mais cela mérite néanmoins un budget 60 fois supérieur à celui alloué à la réduction des inégalités territoriales…

***

A condition que les citoyens s’organisent collectivement pour s’en emparer, les droits culturels peuvent constituer un puissant instrument de critique des politiques publiques, d’où l’importance de ne pas les laisser dégénérer en de simples « éléments de langage » servant à enrober les annonces ministérielles.

 

 

Richard Stallman, figure emblématique du mouvement du logiciel libre, a publié cette semaine dans The Guardian une tribune dans laquelle il réagit au scandale Facebook/Cambridge Analytica, en élargissant la perspective à la problématique de la surveillance.

Pour lui, le problème ne vient pas de Facebook en particulier, mais du fait que la législation sur la protection des données personnelles ne va pas assez loin : il ne s’agirait pas en effet de réguler simplement l’usage des données, mais de poser d’abord un principe général d’interdiction de la collecte des informations relatives aux individus.

La surveillance qui nous est imposée aujourd’hui excède largement celle qui avait cours en Union soviétique. Pour le salut de la liberté et de la démocratie, nous devons l’éliminer en grande partie. Il y a tellement de façons d’utiliser les données d’une manière préjudiciable pour les individus que la seule base de données sûre est celle qui n’en aura jamais collecté. C’est pourquoi, au lieu de l’approche européenne qui consiste seulement à réguler comment les données personnelles peuvent être utilisées (avec le Règlement Général de Protection des Données ou RGPD), je propose une loi qui interdirait aux systèmes de collecter les données personnelles.

La manière la plus efficace d’arriver à ce résultat, sans que cela puisse être contourné par un gouvernement, est de poser en principe qu’un système doit être construit de manière à ne pas collecter de données sur une personne. Le principe fondamental est qu’un système doit être conçu pour ne pas collecter les données s’il peut remplir ses fonctions principales sans recourir à celles-ci.

Stallman donne pour exemple le système de transport londonien qui utilise une carte magnétique (Oyster, l’équivalent du passe Navigo à Paris) identifiant les individus et collectant en permanence des informations détaillées sur leurs trajets. Pour lui, cette collecte est illégitime et ne devrait pas avoir lieu étant donné qu’il est possible d’implémenter la fonction de paiement de la carte magnétique tout en respectant l’anonymat des passagers et ce mode de fonctionnement devrait être proposé par défaut aux utilisateurs.

Or pour Stallman, le RGPD qui entrera en vigueur dans l’Union européenne le 25 mai prochain ne va pas assez loin dans la protection des données personnelles, car il n’empêchera pas ce type de collecte :

Les nouvelles règles du RGPD partent d’une bonne intention, mais elles ne vont pas assez loin. Elles n’apporteront pas un bénéfice significatif en termes de protection de la vie privée, car elles restent trop laxistes. Elles autorisent la collecte de n’importe quelle donnée du moment qu’elles sont utiles pour un système et il est toujours facile de justifier qu’une donnée est utile à quelque chose.

Protection par défaut vs Interdiction par défaut

Ce point de vue peut être discuté et on peut même se demander si Stallman n’est pas passé à côté de certains des apports importants du RGPD. Celui-ci ne repose certes pas en tant que tel sur un principe général d’interdiction de la collecte des données personnelles, mais il comporte un certain nombre de garanties qui vont déjà dans le sens de ce que Stallman propose.

Le RGPD repose en effet sur l’idée que la licéité du traitement d’une donnée à caractère personnelle est subordonnée au fait qu’il réponde à une finalité déterminée, au point que certains vont jusqu’à faire de cette notion la « pierre angulaire » du texte. Le responsable du traitement doit annoncer de manière transparente les raisons pour lesquelles il collecte et utilise des données à caractère personnel. De plus le RGPD comporte des règles complémentaires pour garantir que seules les données nécessaires pour atteindre cette finalité sont effectivement collectées. Il s’agit notamment du principe de protection par défaut (privacy by default) et du principe de minimisation des données.

L’article 25.2 du RGPD définit le principe de protection par défaut de la manière suivante :

Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité.

L’article 5.1.c) du RGPD définit quant à lui le principe de minimisation des données comme suit :

Les données à caractère personnel doivent être :

[…]

adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).

Richard Stallman est donc sans doute trop sévère vis-à-vis du RGPD dans la mesure où celui-ci contient bien des dispositions qui conditionnent la licéité des collectes de données à caractère personnel au respect d’un principe de proportionnalité au regard d’une finalité poursuivie. Il est certain de ce point de vue que ce qui s’est passé dans le cadre du scandale Facebook/Cambridge Analytica est illégal du point de vue du RGPD, car les individus dont les données ont été « aspirées » via une application n’ont pas été clairement informés de la finalité de cette collecte. Mais plus encore, il est quasiment certain que les conditions d’utilisation de Facebook, indépendamment du comportement frauduleux de Cambridge Analytica, étaient déjà en elles-mêmes non conformes aux règles du RGPD, notamment en ce qu’elles permettaient aux applications de recueillir non seulement les données d’une personne, mais aussi celles de tous ses « amis », sans finalité déterminée pour ce traitement.

La question que l’on peut se poser est de savoir si le principe de protection par défaut du RGPD (privacy by default) va aussi loin que l’interdiction par défaut que Stallman propose. Il dit bien qu’un système n’aurait le droit de collecter des données que si ces dernières sont strictement nécessaires à l’accomplissement de ses fonctionnalités. Est-ce que le RGPD de ce point de vue va interdire à la RATP d’identifier les utilisateurs des transports à Paris au motif qu’il y aurait une façon pour le passe Navigo de fonctionner tout en garantissant l’anonymat des personnes ?  Le RGPD ne va sans doute pas aussi loin, car il n’emploie pas la notion de finalité exactement de cette manière. Le texte dit qu’un traitement réalisé sans finalité précise est illicite, alors que Stallman propose que la finalité d’un traitement soit en elle-même déclarée illicite s’il y a moyen de faire fonctionner un système sans collecter de données personnelles, ce qui n’est pas la même chose.

Néanmoins, il semble que le RGPD ne soit pas complètement fermé non plus à une telle interprétation et il n’est pas impossible qu’un service comme celui de la RATP doive revoir en profondeur ses principes de collecte et de traitement de données pour se mettre en conformité avec le RGPD. Mais c’est surtout la jurisprudence à venir qui sera déterminante, car c’est elle qui va fixer la portée exacte de principes comme celui de la protection par défaut des données (privacy by default). D’où l’importance des recours qui vont être lancés dans les premiers temps de l’application du texte, notamment les nouvelles actions de groupe, qui nous permettront de savoir si Stallman avait raison dans sa critique du RGPD ou si cette réglementation s’approchait au contraire de sa vision.

Les deux faces du consentement dans le RGPD

Un autre point important qui mérite discussion dans la tribune de Stallman est celui de la critique qu’il formule à propos de la place faite au consentement individuel dans le RGPD :

Le RGPD va plus loin en demandant aux utilisateurs (dans un certain nombre de cas) de donner leur consentement à la collecte des données, mais cela ne sera pas non plus d’une grande utilité. Les concepteurs de systèmes sont en effet passés maître dans l’art de « fabriquer du consentement » (pour reprendre l’expression de Noam Chomsky). La plupart des utilisateurs consentent aux conditions d’utilisation d’un service sans même les lire […] Lorsqu’un service est crucial pour la vie moderne, comme les bus ou les trains, les utilisateurs ignorent les conditions imposées, car refuser de donner leur consentement leur causerait un tort trop important.

Pour rétablir le droit à la vie privée, nous devons arrêter la surveillance avant même qu’elle ne vienne demander notre consentement.

Jusqu’à une date très récente, j’aurais été entièrement d’accord avec cette critique, qui rejoint celle que je fais plus largement à l’encontre de « l’individualisme méthodologique » qui imprègne le droit de la protection des données personnelles. Mais des discussions que j’ai pu avoir avec les permanents de la Quadrature du Net m’ont montré qu’il est nécessaire de nuancer ce point de vue, parce que la manière dont le RGPD aborde la question du consentement est plus complexe qu’il n’y paraît.

Le consentement est en effet une notion comportant « deux faces », qui ne sont pas exactement superposables. Ce que critique Richard Stallman correspond à ce que l’on pourrait appeler la face « subjective » du consentement : l’individu reçoit une sorte de « délégation de pouvoir » au motif qu’il constituerait l’échelon de décision le plus pertinent pour la protection des données. Or si l’on prend le consentement sous cet angle, je ne peux qu’être d’accord avec Stallman étant donné que les individus accordent très fréquemment leur consentement aux systèmes de surveillance, avec à clé des conséquences toxiques pour eux-mêmes, mais aussi pour la communauté toute entière. L’affaire Cambridge Analytica le montre bien puisqu’il aura suffi de convaincre quelques dizaines de milliers d’utilisateurs de consentir à installer une application pour compromettre les données de 87 millions d’individus !

Néanmoins, on ne peut pas réduire le consentement à cette seule dimension « subjective » étant donné que la notion comporte aussi une face « objective », qui paraît bien plus intéressante en termes de protection des données. Dans cette conception, au lieu de donner à l’individu le pouvoir de fragiliser ses propres droits à travers son consentement, on va au contraire fixer des règles établissant qu’un consentement ne peut être valablement donné s’il a pour effet d’aboutir à une telle fragilisation des droits. C’est ce que permet la manière dont le consentement est défini dans le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Ce caractère « libre, spécifique, éclairé et univoque » du consentement constitue autant de critères « objectifs » qui vont permettre de déterminer des conditions dans lesquelles un individu ne pourra pas consentir valablement à un traitement de données. Il s’agit donc moins en réalité de donner à l’individu un pouvoir de consentir que de définir, au contraire, ce à quoi il ne peut pas consentir.

Le G29 a fixé des lignes directrices pour l’interprétation de la notion de consentement dans le RGPD qui vont encore renforcer cette dimension « objective ». Les autorités de régulation européennes considèrent notamment que pour être véritablement libre, le consentement doit être «inconditionné», c’est-à-dire que la personne doit avoir un véritable choix et que l’absence de consentement ne doit pas avoir de conséquences négatives pour elle. Cela va mettre fin à ce que l’on peut appeler le « chantage au service » qui reste la règle dans l’environnement numérique, vu que les plateformes nous placent généralement face au choix d’accepter telles quelles leurs conditions d’utilisation ou de renoncer au service qu’elles proposent.

On a pu voir récemment une mise en œuvre convaincante de cette lecture « objective » de la notion de consentement dans la mise en demeure adressée à WhatsApp à propos du partage des données de ses utilisateurs avec Facebook. La CNIL a considéré que ce transfert était dépourvu de base légale, quand bien même l’application avait demandé à ses utilisateurs d’y consentir. Elle estime que ce consentement ne pouvait être considéré comme « libre », du fait que « le seul moyen de s’opposer à la transmission des données […] est de désinstaller l’application. » Cela signifie donc que les individus ne pouvaient « objectivement » pas consentir à un tel traitement étant données les conditions dans lesquels ils étaient placés pour l’exprimer.

Réagissant à l’affaire Cambridge Analytica, Guillaume Desgens-Pasanau a très bien exprimé le déplacement des enjeux que cette affaire révèle en matière de protection des données :

Instaurée voici quatre décennies, la réglementation « Informatique et Libertés » visait à protéger les personnes contre le fichage abusif par les administrations ou les entreprises. Aujourd’hui, la question se pose différemment : comment protéger les utilisateurs contre eux-mêmes ?

Le consentement éclairé, une arme de destruction massive (des GAFAM) ?

La notion de consentement libre et éclairée du RGPD, telle qu’interprétée par le G29, possède un réel potentiel exploitable pour mettre fin au détournement du consentement individuel et à sa dégradation en un instrument de soumission collective. Un champ d’action s’ouvre notamment en justice pour aller contester la validité de conditions d’utilisation abusives et c’est d’ailleurs déjà ce que l’on voit se mettre en place avec les condamnations cinglantes qui ont récemment frappé Facebook en Allemagne et en Belgique, en dépit du consentement des utilisateurs à l’activation de certaines fonctionnalités. Mais ici encore, c’est la jurisprudence à venir qui va s’avérer déterminante pour savoir jusqu’à quel point cette lecture « objectiviste » du RGPD va s’imposer. En effet, la notion de consentement libre et éclairée peut devenir une véritable arme contre les GAFAM, surtout si elle est propulsée par des recours collectifs. Car comme le fait remarquer avec beaucoup de justesse Zeynep Tufekci, le mode de fonctionnement de ces plateformes est tellement opaque qu’il est possible que le consentement donné par leurs utilisateurs ne soit tout simplement presque jamais valable :

Une partie du problème avec cet idéal du consentement individuel éclairé est qu’il présuppose que les entreprises ont la possibilité de nous informer des risques auxquels nous consentons. Or ce n’est pas le cas.

On le voit d’ailleurs bien avec la litanie des scandales qui s’enchaînent suite à l’affaire Cambridge Analytica. On apprend que Facebook collecte les appels téléphoniques et SMS des utilisateurs ayant installé son application sur leurs smartphones ? La société répond que les utilisateurs y avaient consenti. L’application de rencontres Grindr transmet à des tiers le statut sérologique de ses utilisateurs ? Elle se défend en invoquant le fait qu’ils avaient librement consenti à lui fournir cette information. Et on voit que Facebook essaie à présent de sortir de la spirale de critiques dans laquelle il s’enfonce en annonçant la mise en place d’une nouvelle interface intégrée de gestion des paramètres de confidentialité et une clarification de ces CGU qui permettrait à chacun d’exprimer son consentement « en connaissance de cause ».

Mais tout ceci ne vaut que dans une conception « subjectiviste » du consentement, alors que le RGPD va accentuer au contraire la dimension « objective » de la notion. Or il existe une chance  que le mode de fonctionnement de plateformes comme Facebook soit déclaré par les tribunaux « structurellement » incompatible avec l’exigence du recueil d’un consentement libre et éclairé. Si cette lecture l’emporte dans la jurisprudence, alors le souhait de Stallman serait exaucé, car cela revient à dire que nous serons en mesure « d’arrêter la surveillance avant même qu’elle ne vienne demander le consentement« , ou plutôt, qu’il ne servira plus à rien que les plateformes dont le modèle économique est intrinsèquement basé sur la surveillance viennent nous demander notre consentement, car nous ne pourrons plus le leur donner. Comme le capitalisme de surveillance repose tout entier sur la « servitude volontaire » des individus, cela revient à dire que le RGPD aurait le potentiel de détruire purement et simplement ce système.

Bien évidemment, les grands acteurs du numérique (mais aussi sans doute les États…) vont tout faire pour empêcher que cette lecture s’impose dans la jurisprudence. C’est la raison aussi pour laquelle ils manoeuvrent déjà dans le règlement ePrivacy pour faire en sorte que certains types de traitements (géolocalisation, profilage) échappent à l’obligation de recueillir le consentement des individus. Et le RGPD comporte lui-même de nombreuses failles qu’ils pourront essayer de faire jouer, notamment en invoquant d’autres fondements comme l’intérêt légitime ou l’exécution d’un contrat pour se passer du consentement individuel (mais surtout se protéger du redoutable versant « objectif » de la notion).

Pour une interprétation « travailliste » du RGPD

Comme Richard Stallman, je m’étais montré jusqu’à présent assez dubitatif vis-à-vis du RGPD, notamment à cause de la place qu’il réservait au consentement individuel. J’y voyais notamment une analogie avec le démantèlement progressif du droit du travail, où l’on a pu assister à l’adoption d’une succession de textes qui ont peu à peu inversé la « hiérarchie des normes ». Avec les lois El Khomri et les ordonnances Macron, le contrat de travail est devenu le centre de gravité du système, ce qui revient à dire qu’on laisse de plus en plus le consentement des individus participer à l’affaiblissement de leurs propres droits, alors même qu’ils doivent l’exprimer dans une situation déséquilibrée du point de vue du rapport de forces. Auparavant le droit du travail était au contraire organisé selon un « principe de faveur » en vertu duquel la loi fixait un certain nombre de principes auxquels les normes inférieures (accords de branche, conventions collectives, accords d’entreprise, contrats de travail) ne pouvaient déroger que pour favoriser les droits des travailleurs et non les affaiblir.

Or je suis conduit à présent à nuancer mes réserves vis-à-vis du RGPD, car si c’est bien une interprétation « objectiviste » du consentement qui s’impose dans son application, alors on pourra considérer que le droit de la protection des données personnelles reposera sur une forme de « principe de faveur ». Les CGU des plateformes peuvent en effet être assimilées à des « conventions collectives » qui ne pourront déroger aux principes protecteurs du RGPD que pour respecter ou renforcer les droits des utilisateurs. Les acteurs numériques ne pourraient alors plus s’appuyer sur le consentement individuel pour faire valoir des clauses qui fragiliseraient les droits des personnes. Comme le dit Alain Supiot, on retrouverait dans le droit des données personnelles ce qui constituait la fonction « civilisatrice » du droit du travail, à savoir la protection de la personne humaine lorsqu’elle est soumise à des rapports de force déséquilibrés qui cherchent à la faire participer à son propre assujettissement.

Cette analogie entre le droit des données personnelles et le droit du travail est tout sauf fortuite, car comme l’affirme Antonio Casilli, les utilisateurs des plateformes sont intrinsèquement des « travailleurs de la donnée » et leur situation appelle des mécanismes de protection modelés selon les principes du droit social. De ce point de vue, une lecture « travailliste » » du RGPD n’est pas impossible, mais il faudra aller défendre en justice ce « principe de faveur en puissance » que le texte porte en lui.

Nous sommes en ce moment dans une phase d’intense « négociation collective », notamment vis-à-vis de Facebook, et l’on voit se produire des convergences surprenantes. Par exemple, la plateforme de Mark Zuckerberg est actuellement soumise à de fortes pressions pour étendre les mesures de protection du RGPD au reste du monde, à commencer par les États-Unis où la règlementation est beaucoup plus laxiste. Facebook souffle à ce sujet le chaud et le froid, annonçant d’abord que les mêmes réglages de confidentialité seraient appliqués partout dans le monde pour ensuite déclarer que la plateforme n’appliquera pas de manière générale et uniforme le RGPD en dehors l’Union Européenne.

Or si l’on observe la situation avec le prisme « travailliste » qui est le mien sur ces sujets, force est de constater que cet épisode fait furieusement penser à un mécanisme bien connu du droit du travail, à savoir l’extension de l’effet des conventions collectives plus favorables à tout un secteur d’activité. C’est comme si le RGPD était l’équivalent fonctionnel d’une telle convention collective sur lequel prend appui à présent la négociation collective au niveau mondial pour réclamer une généralisation de ces effets.

Ces similitudes troublantes entre le droit de la protection des données et le droit social sont loin d’être de simples métaphores, mais elles disent au contraire quelque chose de très profond…

 

Le rapport « Donner un sens à l’intelligence artificielle » de la mission Villani a été remis hier. C’est un document assez volumineux (235 pages) qui mériterait de longs commentaires, mais je voudrais me concentrer sur une partie en particulier intitulée « Penser les droits collectifs sur les données », parce qu’elle rejoint certaines des réflexions que j’ai pu dérouler sur ce blog depuis plusieurs années à présent.

Voici ce que l’on peut lire (à la page 148) :

Le développement de l’IA fait apparaître un certain nombre d’angles morts dans la législation actuelle – et future avec le RGPD – en matière de protection des individus. Ceux-ci découlent du fait que la loi Informatique et Libertés, comme le RGPD, ne traitent que des données à caractère personnel. Or, si la portée des protections offertes par ces textes est potentiellement très large, l’intelligence artificielle ne mobilise pas uniquement des données personnelles. Loin s’en faut : beaucoup de ces enjeux soulevés par les algorithmes constituent aujourd’hui un angle mort du droit.

En effet, la législation sur la protection des données n’encadre les algorithmes d’intelligence artificielle que dans la mesure où ils se fondent sur des données à caractère personnel et où leurs résultats s’appliquent directement à des personnes. C’est le cas d’un bon nombre d’entre eux : offres personnalisées, recommandations de contenus,… mais, de fait, beaucoup d’usages échappent à cette législation, bien qu’ils recèlent des effets significatifs sur des groupes d’individus, et donc sur les personnes. Il a par exemple pu être démontré que les agrégats statistiques qui ont pu motiver d’envoyer des patrouilles de police ou des livreurs Amazon plus souvent dans tel ou tel quartier peuvent alimenter des effets discriminants sur certaines catégories de population, par un mécanisme de reproduction des phénomènes sociaux.

Au regard du développement de l’intelligence artificielle, on peut même se demander si la notion de données à caractère personnel peut tout simplement conserver un sens. Les travaux pionniers d’Helen Nissenbaum nous enseignent par exemple que les données sont des objets contextuels, qui peuvent renseigner simultanément sur plusieurs individus ou questions. Cela
d’autant plus que, dans le cadre du deep learning, les données sont exploitées à grande échelle pour produire des corrélations qui peuvent concerner des groupes d’individus.

Chacun a le droit (sous certaines exceptions notables) d’être informé sur le sort d’une donnée qui le concerne dans des termes génériques (finalités, usages ultérieurs,…), voire de s’y opposer. Mais nous n’avons pas, ni en droit ni en fait, la possibilité de prescrire ou de proscrire des usages précis de nos données – excepté par l’acte de consommer ou non des services. Ce pouvoir reste aujourd’hui l’apanage du régulateur et du législateur, qui encadrent par exemple les motifs en fonction desquels on peut refuser l’accès à une offre de service, à un produit d’assurance, au logement, à un emploi, etc. Un individu peut donc être protégé de manière granulaire contre la collecte d’une information qui l’identifie, mais cette protection ne couvre pas la configuration réticulaire (en réseau) que toute information revêt.

De l’impossibilité de contrôler l’intentionnalité des régimes de collecte des données

Un billet publié le mois dernier par Olivier Ertzscheid sur blog Affordance a bien montré comment ces « taches aveugles » dans la réglementation sur les données peuvent conduire à des dérives préoccupantes en terme de perte de contrôle pour les individus. On savait en effet déjà que les nouveaux CAPTCHA visuels utilisés par Google (pour vérifier que ce sont bien des humains qui se connectent à des sites internet et non des robots) servent en réalité aussi à « entraîner » des intelligences artificielles spécialisées dans la reconnaissance automatique des images.

Mais un article paru récemment dans Gizmodo a aussi révélé que Google collabore avec le Département de la défense américaine en fournissant ces technologies d’intelligence artificielle pour le pilotage automatique de drones de guerre, ce que n’a pas manqué de dénoncer très justement Olivier :

Le point commun entre une attaque militaire menée par des drones et l’accès à une vidéo cachée derrière un captcha où il faut reconnaître différents éléments d’une image ? Google. Et notre participation à l’effort de guerre en tant que tâcherons bénévoles et captifs.

Si la plupart des Captchas utilisent des images représentant des panneaux de signalisation, des paysages, des environnements urbains ou montagneux ou désertiques, si l’on nous demande de « reconnaître » des panneaux, des immeubles, des habitations, des voitures, des montagnes et ainsi de suite, c’est aussi pour entraîner des drones de combat, qui eux-mêmes devront ensuite être capables de les reconnaître sur un théâtre d’opération, en (bonne ?) partie grâce à nous. Et ce « aussi » fait toute la différence.

Chaque jour, dans le cadre de ce que l’on nomme le « Digital Labor » nous entraînons donc et nous « améliorons » les technologies embarquées dans des drones militaires qui seront utilisés sur des zones de guerre.

Or le problème, c’est que, comme le montre très justement l’extrait précité du rapport Villani, le cadre actuel de la protection des données personnelles ne permet en rien de donner aux individus un droit de contrôler l’usage qui sera fait des données qu’ils produisent dans le cadre d’une activité comme la saisie d’un CAPTCHA visuel. Car Google n’a en l’occurrence nullement besoin de rapporter ces informations à une personne identifiée pour pouvoir se servir ensuite de ces données afin « d’élever » ses intelligences artificielles.

 la Loi Informatiques & Libertés affirmait en 1978 que «Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi». Mais ce pouvoir de décision et de contrôle est intrinsèquement rattaché au caractère personnel des données et les individus le perdent dès lors que les informations ne permettent pas l’identification d’une personne donnée. Or parmi ces droits des personnes liées aux données personnelles, on trouve en premier lieu celui de pouvoir consentir à l’usage des données pour une finalité bien déterminée. Et c’est précisément ce qui fait cruellement défaut pour les CAPTCHA visuels de Google, car aucune garantie ne nous est donnée vis-à-vis de ce qu’Olivier appelle dans son billet « l’intentionnalité des régimes de collecte » :

la question de la traçabilité, mais surtout celle de l’intentionnalité des régimes de collecte est essentielle. Si nous ne voulons pas sombrer dans un monde où tout le monde pourrait être reconnu comme co-responsable ou coupable de frappes militaires en ayant contribué à améliorer la technologie qui les a rendues possibles. Ou pire encore : un monde où tout le monde se foutrait complètement de savoir si ses données et les algorithmes que nous entraînons chaque jour peuvent être utilisés pour nous vendre des crèmes hydratantes, pour visionner des vidéos, ou pour faire la guerre.

De ce point de vue, le rapport Villani pointe bien les failles actuelles de la réglementation sur les données personnelles et il appelle en réponse à « penser les droits collectifs sur les données », mais sans donner véritablement de précision sur les modifications à apporter pour arriver à un tel résultat. Olivier Ertszcheid de son côté va plus loin et cite la proposition que nous avons faite récemment, Laura Aufrère et moi-même, de créer un « droit social des données » qui viserait justement à reconnaître juridiquement la dimension collective des données :

Le droit social des données qui reste pour l’essentiel à penser (on a déjà heureusement quelques bases, par exemple chez Alain Supiot, chez Lionel Maurel ou chez Antonio Casilli) et qui est surtout, hélas, pour l’instant phagocyté par les appétits que suscite la définition d’un droit commercial des mêmes données, ce droit social des données, donc, devra permettre de travailler la question de l’intentionnalité des régimes de captation, de collecte et de réutilisation desdites données. Faute de quoi c’est une nouvelle expropriation qui verra le jour, dans laquelle, comme un hoquet de l’histoire, les travailleurs (de la donnée) se verront une nouvelle fois spoliés du produit de leur travail au seul bénéfice de régimes spéculatifs capitalistiques.

Droits collectifs et données citoyennes

Pour le cas des CAPTCHA de Google, on voit l’intérêt qu’il y aurait à développer une réglementation spécifique du Digital Labor, qui viendrait compléter utilement le système actuel de protection des données personnelles. Lorsque les individus sont placés, consciemment ou non, par des plateformes dans un rapport de production de données à visée économique, ils devraient pouvoir exercer leur consentement à entrer dans un tel rapport en étant informé du sens de cette production, peu importe que les données produites soient identifiantes ou non. Dans  nos propositions, nous avons également émis l’idée que les données dite « personnelles » devraient en réalité être reconnues comme des « données citoyennes » pour manifester l’idée que nous devrions conserver un pouvoir collectif de contrôle sur leur usage, y compris lorsque les données sont anonymisées.

Le rapport Villani contient d’ailleurs d’autres « traces » de cette approche. Il appelle notamment dans d’autres parties à « mettre en oeuvre la portabilité des données dans une visée citoyenne » (p. 36) en incitant les individus à mutualiser volontairement leurs données pour favoriser des projets d’intelligence artificielle développés dans un but d’intérêt général (reprenant par là des idées déjà émises par le Lab de la CNIL). Le texte remet aussi en avant la notion de « données d’intérêt général » en envisageant que l’Etat pourrait imposer à des acteurs privés de partager des données afin de favoriser là aussi le développement de l’intelligence artificielle dans des secteurs clés, comme l’énergie ou la santé (p. 33).

Le problème, c’est qu’il y a de grands risques de tomber de Charybde en Scylla avec une telle conception des « droits collectifs sur les données ». La dépossession du pouvoir de contrôle sur les données peut en effet être tout aussi forte qu’elle soit exercée par de grandes plateformes privées ou par des Etats. L’affaire des CAPTCHA visuels de Google qui servent à entraîner des drones de guerre montre d’ailleurs très bien l’alliance objective qui peut se nouer entre ces deux catégories d’acteurs et qu’est-ce qui empêcherait au juste à l’Etat américain d’affirmer qu’il utilise ces données fournies via les CAPTCHA au nom de l’intérêt général ?

C’est la raison pour laquelle nous avons aussi critiqué dans nos propositions cette conception « étatiste » des données d’intérêt général  pour lui substituer la notion de « données citoyennes » :

il nous semble que le concept de « données d’intérêt général » mérite d’être conservé, mais à condition de l’investir d’un sens complètement nouveau. Le rôle central donné à L’État dans la détermination de ce que seraient des données d’intérêt général vient du fait que cette notion a été forgée en s’inspirant de l’expropriation pour cause d’utilité publique. Mais on pourrait considérer qu’il ne s’agit pas de données dont L’État ou une autorité publique a décidé qu’elles étaient d’intérêt général, mais plutôt que toutes les données relatives aux individus doivent par nature être considérées comme des données d’intérêt général, et pas uniquement comme des données « privées ». Nos données personnelles sont produites dans le cadre de comportements qui, par ailleurs, sont identifiés du point de vue du droit comme appartenant à des espaces de la vie civile, là où nous exprimons notre citoyenneté et où nous vivons ensemble. On pourrait donc considérer que les traces numériques relèvent de l’intérêt général en tant que données « citoyennes ». Il y a bien lieu de parler à leur sujet d’intérêt général, parce que les plateformes ne devraient pas avoir le droit d’utiliser ces données sans nous demander un consentement individuellement, mais aussi et surtout, collectivement.

***

Toute la difficulté pour l’émergence d’un « droit social des données » consistera à trouver des formes institutionnelles pour donner corps à ce pouvoir collectif sur les données et en faire une force opposable à tous les Leviathans, qu’ils soient privés ou publics.

 

Le scandale Cambridge Analytica qui a plongé Facebook dans la tourmente cette semaine est sur toutes les lèvres, au point d’avoir quelque peu éclipsé les annonces de la Commission européenne relatives à la fiscalité du numérique. Or ces propositions, qui envisagent deux scénarios différents, méritent de l’attention, car l’un deux pourrait mettre en place une forme de taxe sur le Digital Labor, le « travail gratuit » fourni par les internautes que les plateformes exploitent économiquement, sans que ces activités fassent jusqu’à présent l’objet d’une prise en compte juridique spécifique.

Même si la Commission européenne ne va pas jusque là dans son analyse (elle n’emploie pas l’expression de Digital Labor, ni ne fait référence au « travail » dans sa communication autour de ces propositions), les principes qu’elles posent n’interdisent pas d’en faire cette lecture. Mais si c’est bien une forme de travail qui est ciblée par cette nouvelle taxe, alors il conviendrait d’être cohérent et de considérer cette ponction sur les plateformes comme une « cotisation sociale » d’un nouveau type, destinée à financer le systèmes de protection sociale dans les pays de l’Union européenne.

Cette réforme de fiscalité deviendrait alors un levier pour commencer à construire un « droit social des données » ou une « protection sociale des données », telle que nous l’avons proposé avec Laura Aufrère dans un article paru le mois dernier sur ce blog et dans une tribune publiée sur Libération. 

Cibler les activités « où les utilisateurs contribuent à l’essentiel de la création de valeur »

Un article du Monde résume ainsi le premier scénario  envisagé par la Commission :

Il s’agit de prélever l’impôt là où se trouvent les utilisateurs des services en ligne, plutôt que là où sont concentrés les profits générés par ceux-ci.

Sont visées, non pas des entreprises, mais des « activités ». En l’occurrence, celles où les utilisateurs contribuent à l’essentiel de la création de valeur : vente d’espaces publicitaires liés à l’exploitation des données privées (Facebook, Google, etc.), ou plates-formes d’intermédiation facilitant les ventes de biens et de services entre internautes (Airbnb, Uber, Booking, etc.). Ne seront en revanche pas concernés les cybermarchands (Amazon et consorts) ou les vendeurs de services sur abonnements (Netflix, iTunes d’Apple, etc.).

Le critère de « contribution à l’essentiel de la valeur créée » peut se raccrocher à la notion de Digital Labor, notamment si on l’exprime de cette manière : il s’agit d’une situation où l’utilisateur d’une plateforme est inclus, consciemment ou non, dans un rapport de production (de données) à visée économique. Cela rejoint l’idée que nous avions développée dans notre article d’un « continuum des situations » entre les « travailleurs de la donnée », qui peuvent aussi bien être des « professionnels » (comme les chauffeurs Uber ou les livreurs Deliveroo) ou de « simples utilisateurs » mis en situation de travail par l’environnement des plateformes.

La question se pose cependant de la délimitation adoptée par la Commission, et notamment de l’exclusion des « cybermarchands » du périmètre de ce dispositif. Ce choix est assez discutable, car que le modèle d’acteurs comme Amazon ou Netflix repose en grande partie sur l’exploitation des données d’usage des individus afin d’alimenter leur moteur de recommandation. Tout dépend donc de la portée sur l’on souhaite donner au critère de « l’essentiel de la valeur créée », mais on voit immédiatement qu’il peut revêtir une certaine subjectivité. D’où l’intérêt sans doute qu’il y aurait à rattacher plus explicitement ce dispositif fiscal à la notion de Digital Labor (ou du moins à la notion de « travail »), notamment en recourant à la notion de « subordination d’usage » que nous avons essayée de mettre en avant, qui pourrait jouer le rôle d’un critère complémentaire à celui de participation à la valeur créée. Par ailleurs, il est assez surprenant que la Commission n’évoque pas dans sa Communication les plateformes de micro-travail, comme Amazon Mechanical Turk, TaskRabbit et autres Upwork, alors même qu’elles constituent par définition des lieux où la valeur est essentiellement produite par les utilisateurs/travailleurs.

Pour la Commission européenne, ce scénario  n’aurait vocation qu’à être transitoire. A terme, elle vise plutôt une réorganisation de la fiscalité des sociétés qui permettrait d’identifier des « établissements virtuels stables » de manière à pouvoir cibler des acteurs numériques n’ayant pas d’implantation physique dans l’Union européenne. Une « présence numérique imposable » pourrait être identifiée à partir de plusieurs critères, comme le fait d’avoir plus de 100 000 utilisateurs européens inscrits. La formule permettrait sans doute de soumettre davantage de plateformes à l’impôt, mais on y perdrait le lien pouvant être fait avec la reconnaissance du Digital Labor, ce qui serait dommage à mon sens.

Un moyen d’en finir (définitivement ?) avec les fantasmes de monétisation des données personnelles

Ces dernières semaines ont vu la résurgence d’un débat sur l’opportunité d’instaurer un droit de propriété sur les données personnelles afin que les individus puissent les vendre aux plateformes en échange d’une contrepartie financière. C’est notamment la thèse du rapport « Mes data sont à moi ! » publié par le Think Tank ultralibéral Génération Libre. Ces propositions ont suscité quelques ralliements, mais aussi beaucoup d’oppositions, notamment de la part de ceux qui voient un vif péril à créer ainsi un « marché des données personnelles ».

Cette idée de « patrimonialiser » les données personnelles n’est cependant pas complètement sans lien avec le Digital Labor, du moins dans l’esprit de certains de ses promoteurs. C’est le cas notamment de l’américain Jaron Lasnier, qui fut l’un des premiers à la défendre à travers ses ouvrages. Dans un article récent, il établit un lien entre la thèse propriétariste et les « données comme travail » (Data as Labor) (résumé comme suit dans cet article) :

L’économie des données s’est développée par accident, plus que volontairement. Elle est inefficace, injuste et contre-productive, et devrait être totalement repensée, soutiennent-ils. Ils font la différence entre d’un côté, le modèle existant de Data as Capital, ou “données comme capital” (DaC en anglais), qui traite les données comme les produits de combustion de notre mode de consommation, la matière première d’un capitalisme de surveillance ; et de l’autre, un modèle théorique de Data as Labour, (DaL) ou “données comme travail”, qui traite les données comme une propriété générée par les utilisateurs et qui devrait profiter en priorité à ces derniers.

Ils lancent un appel aux économistes du travail et aux entrepreneurs pour créer un véritable marché des données des utilisateurs. Un tel marché rémunérerait les données, créant ainsi de nouveaux emplois, tout en nourrissant une culture de “dignité numérique” et en donnant un coup de pouce à la productivité de l’économie.

Un des intérêts de la proposition de la Commission est de couper l’herbe sous le pied à tous ces paralogismes, en créant une manière de faire payer les plateformes sans tomber dans le piège de la création d’un droit de propriété sur les données personnelles. Comme nous avons essayé de l’expliquer, le principal problème de cette proposition est qu’elle fait reposer la régulation du système sur les relations contractuelles que les individus devraient établir avec des plateformes comme Google ou Facebook, dans le cadre d’une relation complètement asymétrique, qui fait craindre le pire.

Pourtant, il n’est pas contestable que si les grandes plateformes nous incluent dans un rapport de production de données à visée économique, il relève de la justice sociale qu’elles soient soumises à un paiement en retour. Mais l’angle de la fiscalité est infiniment préférable pour atteindre ce résultat que celui de la monétisation des données personnelles à l’échelle individuelle. On surmonte de cette manière le problème de l’isolement des individus face aux plateformes, puisque c’est avec les Etats que celles-ci devront composer, qui plus est à une échelle européenne où le rapport des puissances peut encore jouer en la faveur de ces derniers. Mais surtout, on évite d’adultérer la nature même des données personnelles en les transformant en des « biens » susceptibles de « vente » et d’avoir un « prix ». Car il n’y a là que des métaphores juridiques trompeuses, qui ne peuvent conduire qu’à les transformer en  des « marchandises fictives », en aliénant au passage encore davantage les individus.

On notera au passage que l’affaire Cambridge Analytica constitue à la fois une confirmation des liens entre Digital Labor et protection des données personnelles, ainsi qu’une mise en évidence des risques induits par la thèse propriétariste. Car c’est en proposant des micro-tâches rémunérées sur Amazon Mechanical Turk (répondre pour un ou deux dollars à ce qui était présenté comme un questionnaire dans le cadre d’un projet de recherche) que la firme en cause a pu récupérer les données de 50 millions d’utilisateurs de Facebook. C’est typiquement le type de « piège mental » auquel les individus seraient constamment soumis s’ils pouvaient juridiquement « vendre » leurs données personnelles aux plateformes.

Ressemblances et différences avec la taxe Colin & Collin

La proposition de la Commission européenne fait immanquablement penser à la taxe Colin & Collin, qui avait été envisagée en 2013 dans le cadre d’un rapport sur l’évolution de la fiscalité du numérique remis au gouvernement français. Le texte faisait d’ailleurs explicitement référence à la notion de « travail gratuit », tout en comportant quelques différences avec la proposition de la Commission qu’il est intéressant de relever.

L’idée de Colin et Collin consistait à créer une « dataxe », c’est-à-dire une taxe sur l’usage même des données personnelles des citoyens européens. C’est une proposition que j’avais rapprochée dans un billet précédent de l’idée de « domaine public des données personnelles » d’Evgueny Morozov, qui envisage l’ensemble des données des citoyens comme une forme de « propriété publique » que les Etats pourraient soumettre à redevance, comme ils le font aujourd’hui pour les occupations des voies publiques par des activités commerciales. La proposition de Colin & Collin se passait de ce détour, à vraie dire assez problématique, par l’idée de propriété publique, mais elle reposait sur une philosophie assez similaire. Avec la proposition de la Commission européenne, il me semble que le lien avec le Digital Labor est plus simple à établir, car on n’est pas dans un schéma (trompeur) où les données « préexisteraient » à leur exploitation par les plateformes. Le critère retenu est celui de la participation des utilisateurs à la valeur créée, ce qui renvoie à l’idée d’un utilisateur inclus dans un rapport de production (de données) à visée économique, et donc à une forme de « travail ».

L’autre point de divergence est que la taxe Colin & Collin était envisagée sur le modèle « pollueur-payeur ». Contrairement à la proposition de la commission européenne, elle ne visait pas à ponctionner la valeur produite, mais à avoir un effet incitatif en faisant adopter aux plateformes des « comportements vertueux », notamment en termes de partage des données avec l’écosystème. Il s’agissait par d’encourager les acteurs numériques à mettre en place des dispositifs de portabilité individuelle des données ou la restitution à la société via des mesures d’Open Data sur les données agrégées ou la mise en place d’API. Ces propositions, qui rejoignent d’ailleurs là aussi en partie les vues d’Evgueny Morozov, sont peut-être aujourd’hui un peu datées, car on voit que c’est la réglementation générale qui impose petit à petit ce genre d’obligations aux plateformes. C’est le cas pour la portabilité individuelle qui devient une obligation avec le RGPD et certaines législations sectorielles commencent à envisager de soumettre des plateformes privées à des obligations d’Open Data (même si la mise en oeuvre reste difficile).

Etant assise sur une ponction à 3% du chiffre d’affaire, la proposition de la Commission européenne perd cette dimension incitative, mais elle gagne aussi en simplicité, là où le rapport Colin & Collin prévoyait par exemple de prendre en compte le « volume » des données collectées, ce qui aurait été très complexe à mettre en oeuvre (voire même dangereux, car cela impliquait une certaine forme de surveillance de la part des Etats).

Taxe ou cotisation sociale ?

Au final, la proposition de la Commission ne me paraît donc pas dénuée d’intérêt et il manque finalement assez peu de choses au projet pour déboucher sur une première reconnaissance juridique de la notion de « Digital Labor ».

Mais si la réglementation va dans cette direction, il importe qu’elle aille jusqu’au bout de la logique, car si ce sont des activités assimilables à du travail qu’on entend saisir par le droit, ce n’est pas sous la forme d’une taxe qu’on doit le faire, mais sous celle d’une « cotisation sociale« . Ce serait une manière de poser une première pierre dans la construction d’un « droit social des données », en articulant cette réforme fiscale à la redéfinition de la protection sociale au XXIème siècle.

La Commission envisage que le produit de la taxe envisagée soit reversé aux Etats en fonction du nombre d’utilisateurs identifiés sur les plateformes qui y seraient soumises, ce qui signifie que ces sommes tomberaient dans le budget général des Etats. En envisageant le mécanisme comme une nouvelle forme de « cotisation sociale », on permettrait que cette ponction finance directement le système des prestations sociales ou, mieux encore, permette d’en créer de nouvelles.

Voilà une occasion de raccrocher cette question de la fiscalité du numérique à d’autres sujets importants. Pourquoi ne pas envisager par exemple que ces sommes servent à financer des formations au numérique qu’un Etat comme la France est scandaleusement en train d’abandonner aux GAFAM, en livrant ses étudiants à Google et ses chômeurs à Facebook ? L’éducation populaire et citoyenne est une pierre à part entière de la « protection sociale des données » que nous devons construire. Et pourquoi ne pas aller plus loin en affectant une partie de ces sommes au financement d’un « droit au travail dans les Communs » qui viendrait compléter l’édifice de nos droits sociaux ?