Le Conseil National du Numérique a publié la semaine dernière un rapport la neutralité des plateformes, proposant une série de mesures pour « réunir les conditions d’un environnement numérique ouvert et soutenable« . Ces travaux ont fait l’objet d’un certain nombre de critiques, en raison du caractère parfois flou du concept de « neutralité des plateformes », mais le rapport n’en contient pas moins des aspects intéressants.
Le texte du CNNum contient notamment un passage consacré au statut juridique des données personnelles, qui n’a pas vraiment fait l’objet jusqu’à présent de commentaires , alors qu’il revêt à mon sens une grande importance. Pour le CNNum, le concept de neutralité des plateformes se traduit en effet par le respect de cinq exigences :
- La transparence et la loyauté des modes de collecte, de traitement et de restitution de l’information ;
- La non-discrimination entre les formes d’expression et de contenus partagés ;
- La non-discrimination des conditions économiques d’accès aux plateformes ;
- La non-discrimination des conditions d’interopérabilité avec les plateformes ;
- Une information sans propriétaire.
C’est ce cinquième et dernier point qui va ici retenir notre attention. Il renvoie à la page 37 du rapport, dans une partie portant sur « les bases de la répartition équitable de la valeur des données« . Sans ambiguïté aucune, le Conseil se prononce contre l’idée d’instaurer un droit de propriété privée sur les données personnelles comme moyen de parvenir à une meilleure régulation de l’environnement numérique :
Exclure l’hypothèse de la propriété : en principe, l’information n’est pas propriétaire, mais les moyens pour sa production et son enrichissement peuvent l’être. La reconnaissance d’un droit de propriété sur les données personnelles aux individus est souvent avancée comme moyen de rééquilibrer les pouvoirs avec les entités collectrices.
Le Conseil invite à exclure cette option :
- Parce qu’elle renvoie à l’individu la responsabilité de gérer et protéger ses données, renforce l’individualisme et nie le rapport de force entre consommateurs et entreprises ;
- Parce qu’elle ne pourrait que générer des revenus anecdotiques pour les usagers et susciter à l’inverse un marché de la gestion protectrice des données numériques ;
- Parce qu’elle déboucherait à un renforcement des inégalités entre citoyens en capacité de gérer, protéger et monétiser leurs données et ceux qui, par manque de littératie, de temps, d’argent ou autre, abandonneraient ces fonctions au marché.
A quoi cette idée de propriété privée sur les données personnelles renvoie-t-elle exactement et pourquoi la prise de position du CNNum est-elle importante ?
La montée en puissance d’une conception patrimoniale des données personnelles
La question de l’exploitation abusive des données personnelles est aujourd’hui devenue essentielle. Elle explique en grande partie le déséquilibre de l’environnement numérique au profit de grandes plateformes comme Google, Facebook et bien d’autres « capitalistes nétarchiques », capables de monétiser l’attention des internautes en captant leurs données personnelles. Il en résulte un développement inquiétant du « travail gratuit » fourni par les individus à ces grands acteurs du web sans contrepartie, ce qui provoque un transfert de valeur inéquitable leur permettant de renforcer leur position dominante.
Pour lutter contre cette forme nouvelle d’exploitation, certains avancent que la solution la plus efficace consisterait à instaurer un droit de propriété au sens propre sur les données personnelles au profit des individus, afin de leur permettre de mieux les contrôler et éventuellement de les monétiser pour organiser un retour de la valeur vers ceux qui en sont la source. On retrouve par exemple de telles thèses chez l’américain Jaron Lanier, auteur de l’ouvrage « Who owns the future ? », qui préconise de mettre en place un système de micro-paiement généralisé permettant aux individus de monétiser leurs données personnelles :
je préconise un système universel de micropaiement. Les gens toucheraient une rémunération – fût-elle minime – pour l’information qui n’existerait pas s’ils n’existaient pas.
Cette idée circulait déjà dans les années 1960, avant même que l’Internet soit inventé. C’est juste un retour aux origines. Si on arrivait à savoir combien les entreprises sont prêtes à payer pour avoir des informations, cela serait utile… Les gens pensent que le montant serait infime. Mais si on regarde en détail, c’est faux. Les données concernant M. Tout-le-Monde ont beaucoup de valeur. Cela serait un soutien économique puissant pour la nouvelle classe moyenne. Chaque donnée individuelle aurait une valeur différente. Certaines seraient plus cotées parce qu’elles sortent de l’ordinaire.
Ce genre de thèses se heurtent actuellement au statut juridique des données personnelles et de l’information. Les données personnelles des individus ne sont en effet pas considérées comme des propriétés, mais comme un droit attaché à la personne humaine et au respect qui lui est dû. C’est ainsi que la loi Informatique et Libertés du 6 janvier 1978, d’inspiration humaniste, les a conçues et cette philosophie est également présente au niveau européen. Par ailleurs, les informations en elles-mêmes échappent au droit d’auteur et à la propriété intellectuelle. Elles appartiennent par défaut au domaine public structurel, même si l’instauration d’un droit des bases de données à partir des années 90 en Europe a tendu à les soumettre peu à peu à une logique propriétaire qui ne cesse de prendre de l’ampleur depuis.
La métaphore dangereuse de la propriété intellectuelle
Toujours est-il que les tenants de cette nouvelle approche « patrimoniale » des données personnelles ont besoin d’un fondement juridique assimilable à une propriété pour être mesure de mettre en œuvre leurs conceptions. Et un certain nombre d’entre eux sont en train de soutenir que l’on devrait mettre en place un droit de propriété intellectuelle sur les données personnelles, voire même un droit d’auteur.
C’est le cas par exemple en France de Pierre Bellanger, fondateur de Skyrock et auteur de l’ouvrage « la souveraineté numérique ». Dans cette interview par exemple accordée en février dernier au site LesEchos.fr, Pierre Bellanger exprimait sans ambages ce projet de créer un droit de propriété sur les données personnelles :
Aujourd’hui ces données sont ce qu’on appelle « res nullius », c’est-à-dire qu’en droit elles ne sont propriété de personne. Il faut rappeler que le pères fondateurs des Etats-Unis, lorsqu’ils ont rencontré les indiens, ont décrété que comme ils n’avaient pas de titres de propriété, leurs terres étaient « terra nullius ». Donc méfions-nous quand nos données sont « res nullius » et qu’il y a des intérêts impériaux en face […]
Nous avons à faire ce que Beaumarchais a fait lorsqu’il a créé le droit d’auteur : nous avons à rendre les gens propriétaires de leurs données, c’est-à-dire propriétaires de leurs traces numériques sur le réseau. Il y a un certain nombre de moyens qui permettent de le faire, tout un écosystème de logiciels qui accompagne cette idée de propriété des données, et c’est quelque chose sur lequel on peut s’appuyer.
Invité sur Place de la Toile en avril dernier, Pierre Bellanger a repris et développé ces thèses, allant jusqu’à affirmer que nous serions les « auteurs de nos données personnelles« , comme nous le serions d’oeuvres que nous aurions créées. Ce type d’approches est en réalité complètement métaphorique : la conception patrimoniale des données personnelles emprunte le détour du droit d’auteur parce que c’est le moyen de se raccrocher à la notion de propriété, via la propriété intellectuelle. Parfois, la métaphore est un peu plus fine, comme chez Laurent Chemla, un autre tenant de cette conception patrimoniale, qui imagine plutôt de créer un droit voisin sur les données personnelles ou une nouvelle forme de droit sui generis, comme celui qui existe sur les bases de données.
Au-delà des divergences d’approches, ces conceptions s’accordent sur le fait que la transformation des données personnelles en propriétés serait un moyen efficace de résoudre le problème d’exploitation abusive pointé plus haut. Chez Pierre Bellanger, la rhétorique employée s’apparente même à celle d’une « Tragédie des Communs ». Bellanger explique que les données personnelles sont actuellement des « res nullius« , c’est-à-dire des « choses sans maître » et que cette absence de propriété favorise leur sur-exploitation par les grandes plateformes du web, au détriment de la « souveraineté numérique des individus ». Comme Garett Hardin l’avait fait dans les années 60 en prenant l’exemple de l’exploitation des terres, Bellanger explique que seul un régime d’appropriation privée des données peut constituer une régulation efficace.
Extension du domaine de la propriété imaginaire
Or il y a tout lieu de penser que le recours à la propriété privée en matière de données personnelles aboutirait à un résultat exactement inverse de celui avancé par les promoteurs de cette approche « patrimoniale ». Le propre de la propriété est d’être cessible et transférable : c’est même sa fonction première en tant qu’institution sociale. Si l’on prend l’exemple du droit d’auteur, il faut rappeler qu’il a été inventé non par des auteurs, mais par des intermédiaires – les imprimeurs libraires de l’Ancien Régime – qui avaient besoin de cette fiction juridique pour se faire céder les droits sur les oeuvres de la part des auteurs. Loin d’être un mécanisme de protection des auteurs, la propriété intellectuelle est avant tout un système permettant l’organisation d’une chaîne de transferts des droits au profit d’intermédiaires économiques. Cette tendance qui existait dès l’origine du droit d’auteur n’a fait que se renforcer avec l’évolution technologique et le numérique n’y a pour l’instant rien changé.
Cette logique « d’intermédiation », inséparable de celle de la propriété transférable, est déjà à l’oeuvre dans le domaine des données personnelles. Des firmes sont déjà en train de se positionner auprès des individus comme des tiers capables de gérer leurs données de manière sécurisée et de les « placer » sur des plateformes afin de les monétiser, un peu comme des courtiers d’affaires. Cette tendance est décrite et critiquée par Valérie Peugeot dans un article fondamental sur la question « Données personnelles : sortir des injonctions contradictoires » :
Ce scénario de la propriété sur les données est poussé par des acteurs qui y voient une opportunité d’affaires plus qu’une sortie par le haut dans une économie numérique en recherche d’équilibre. On voit ainsi apparaître des entreprises qui promettent aux internautes une monétisation directe de leurs données en les louant à des tiers (ex : Yesprofile). Ces acteurs ont pour l’heure un positionnement ambigu : ils promettent simultanément une reprise de contrôle sur les données par l’utilisateur et une source de revenus. S’ils partagent avec les acteurs du VRM (Vendor Relationship Management) le premier objectif, la promesse financière les en démarque. Cette promesse financière semble illusoire, les simulations montrant un taux de retour de quelques euros, mais ce n’est pas la question essentielle. Dans cette approche, la régulation ne passe que par un modèle commercial, entre entités en situation d’asymétrie informationnelle et de rapport de force, ce qui se traduit inévitablement au désavantage du consommateur/utilisateur.
On voit donc qu’en agitant devant les individus le miroir aux alouettes d’une rémunération pour l’exploitation de leurs données, la conception patrimoniale des données personnelles risque surtout de faire émerger une nouvelle classe d’intermédiaires dans l’environnement numérique, à même de générer des revenus conséquents sur la base d’une nouvelle exploitation. Loin d’aboutir à une « souveraineté » retrouvée, le détour par la propriété mènerait les individus sous la coupe d’autres intermédiaires et précipiterait encore davantage le mouvement de marchandisation des données personnelles.
En réalité, la conception patrimoniale des données personnelles repose sur un individualisme méthodologique, typiquement libéral, postulant que la meilleure façon de gérer un écosystème consiste à laisser les acteurs individuels prendre des décisions à leur niveau. Or c’est précisément cette approche réductrice que le CNNum conteste à juste titre dans son rapport. Le problème des données personnelles est essentiellement systémique et c’est à ce niveau qu’il faut se placer pour tenter de le résoudre.
Par ailleurs, le concept même de propriété intellectuelle a fait l’objet de profondes remises en cause. Nombreux sont ceux comme Richard Stallman qui estiment que la propriété intellectuelle n’est qu’une une propriété « imaginaire ». Le concept même de propriété est profondément inadapté lorsqu’il est appliqué à des créations immatérielles, comme les oeuvres, les marques ou les inventions. Déjà trompeuse pour ces objets, la métaphore de la propriété le serait encore davantage si elle était étendue aux données personnelles. Il est infiniment préférable que les données personnelles continuent comme actuellement à relever d’un droit de la personnalité et à être attachées au respect dû à la personne humaine.
Cela ne signifie pas bien entendu que la réglementation des données personnelles soit aujourd’hui parfaite et qu’il ne faille pas la faire évoluer pour répondre aux mutations de l’environnement numérique. Le récent débat au Parlement européen autour du nouveau règlement sur les données personnelles a permis d’obtenir des avancées et le vote au Brésil en avril dernier de la Marco Civil da Internet montre sans doute une voie à suivre. Mais que cette réglementation soit amenée à évoluer ne signifie pas que l’on doive en modifier le fondement juridique. Surtout pas même…
Vers un troisième mouvement d’enclosures ?
La montée d’une conception patrimoniale des données personnelles constitue un mouvement inquiétant et un nouveau sursaut d’une idéologie propriétaire pourtant en crise profonde. Si l’on prend un peu de recul historique, on peut voir en effet que chacun des grands mouvements d’enclosures a été précédé par l’affirmation de nouveaux droits de propriété au profit des individus et présentés comme un progrès. Ce fut le cas lors du premier mouvement des enclosures qui a frappé les terres à partir du 12ème siècle pour culminer dans l’Angleterre du 18ème siècle par une féroce « guerre des forêts » qui a démantelé les biens communs traditionnels et les droits d’usages coutumiers bénéficiant aux plus pauvres au profit de nouvelles classes de propriétaires. Le « second mouvement des enclosures », pour reprendre les mots du juriste James Boyle, a ensuite commencé à partir du 19ème siècle et a concerné cette fois la connaissance, avec l’avènement du droit d’auteur, puis de la propriété intellectuelle. Avec l’allongement continu de la durée et de la portée de ces droits sur les créations immatérielles, il a réduit d’autant les droits fondamentaux dont bénéficiait le public sur les biens communs de la Connaissance. Ce mouvement a aussi abouti à la formation de puissants intermédiaires : éditeurs scientifiques, industries du divertissement, puis grandes firmes du « capitalisme cognitif ». Bien plus que les auteurs, ces acteurs sont les grands bénéficiaires de la « propriété intellectuelle » qu’ils sont les seuls à pouvoir transformer en une rente.
Après les terres et la connaissance, l’affirmation d’un droit de propriété sur les données personnelles aurait sans doute pour effet de précipiter l’avènement d’un troisième mouvement d’enclosures, encore plus grave que les précédents, car il frapperait directement à travers les données personnelles la substance même de nos vies. Loin d’être un frein à la marchandisation dont elles sont déjà l’objet à travers les rouages de l’économie de l’attention, ce droit de propriété n’en serait que l’aboutissement final et la consécration légale.
Mais à l’opposé de cette approche propriétaire, certains envisagent au contraire d’employer à propos des données personnelles la même méthode que celle qui a permis de rendre les logiciels libres inappropriables : celle d’une gestion en commun, envisagée sous la forme de « faisceaux de droits » (bundle of rights). Voyez à nouveau l’article de Valérie Peugeot cité plus haut :
La troisième piste, qui déborde le cadre stricte des données personnelles pour s’intéresser aux données numériques en général, consiste, en s’inspirant des travaux d’Elinor Ostrom et de l’école de Bloomington autour des biens communs, à développer une sphère de données en Communs, c’est-à-dire de données qui peuvent être considérées comme une ressource collective, et qui n’entrent ni dans le régime des biens gérés par la puissance publique strico sensu, ni dans un régime de marché. Ce régime de Communs repose sur une gestion par une communauté de la ressource considérée, qui organise ses règles de gouvernance, en s’appuyant sur un « faisceau de droits » (bundle of rights »). Ces faisceaux de droits rendent possibles des régimes de propriété partagée. Un faisceau de droits c’est un ensemble de relations sociales codifiées autour de quelque chose à protéger comme le rappelle Silvère Mercier. Ils permettent de penser les usages indépendamment de la notion de « propriété », et d’adapter les règles de droit pour servir au mieux les usages en protégeant les ressources mises en partage. La grande force des Communs est d’ouvrir une troisième voix à côté de la propriété privée et de la propriété publique, un espace dans lequel des ressources, ici des données, ne sont pas soumises à un régime de droits exclusifs, mais peuvent être réutilisées selon certaines conditions fixées par la communauté qui en a la gestion et qui veille à leur protection. Il ouvre un espace protégé dans lequel les individus et les collectifs peuvent choisir de placer leurs données.
Appliquer la logique des licences libres aux données personnelles ?
Silvère Mercier dans un billet consacré à la question mettait l’accent sur la nécessité d’inventer un nouveau régime juridique pour organiser une gestion des données personnelles en communs :
Ni privé, ni public comment penser des données personnelles en biens communs? Car c’est une piste peu étudiée : celle de faire de ces fameuses données personnelles des biens communs, quelque chose qui appartient à tous et à personne. Ne pas les sanctuariser par la loi, ni les commercialiser sans vergogne mais bien de repenser autour de leurs usages un faisceau de droits. Il ne s’agit pas de refuser de leur appliquer un régime de propriété mais d’en repenser la nature. Et s’il fallait inventer des creative commons des données personnelles, des privacy commons? Reste à définir une gouvernance partagée de cette ressource commune. La question est effroyablement complexe et je ne prétends bien sûr pas la résoudre ici…
Quelques éléments me semblent importants à prendre en compte pour tenter de clarifier ce sur quoi pourrait porter un faisceau de droits. Il nous faut comprendre la différence essentielle entre les données d’un individu et le graphe qui est exploité. Facebook et Google n’ont que faire des données prises séparément, c’est pourquoi le fait le de permettre à l’utilisateur de télécharger ses données est tout sauf une solution. Non ce qui est décisif, c’est le graphe, le croisement de ces données, les relations entre elles via des algorithmes et des vocabulaires de types de relations (ontologies).
Peut-on imaginer que le graphe social résultant de l’entrecroisement de nos données personnelles puisse être placé sous une licence libre, comme peut l’être un logiciel ou Wikipédia, garantissant à la fois qu’il soit utilisable dans le respect de certaines conditions essentielles et inappropriable ? Il faudrait pour cela créer de nouvelles licences, qui ne trouverait pas leur fondement dans une forme de propriété intellectuelle, mais bien dans le régime actuel des données personnelles envisagées comme droit de la personnalité.
Or certains ont déjà travaillé sur de telles pistes pour envisager un « privacyleft » à l’image du copyleft des logiciels libres. Le juriste Thomas Saint-Aubin avait ainsi présenté en 2012 sur InternetActu un projet « Design your privacy », comportant un jeu de licences permettant aux individus de déterminer les conditions de réutilisation de leurs données personnelles :
La licence est donc une concession de droits d’usages à un réutilisateur, sur les données personnelles d’un individu. Il lui concède un droit personnel, non exclusif et non transférable, de réutilisation de ses données pour les finalités et les moyens présélectionnés par ses soins. Cette opt-in (c’est-à-dire cette option d’adhésion qui a fait l’objet d’un consentement préalable) est temporaire et révocable unilatéralement par l’utilisateur en opt-out (accord tacite, sans consentement préalable).
[…] Les variantes de la licence permettent à l’internaute de distinguer le régime de réutilisation des données couvertes par une anonymisation ou par une pseudo-anonymisation des données nominatives. Il doit pouvoir veiller aux conséquences du recoupement des données en les interdisant le cas échéant, notamment lorsque ces traitements sont susceptibles de l’identifier. En toute hypothèse, sur ses données nominatives ou pseudonymisées, il dispose d’une sorte de privacyleft lui permettant de revenir à tout moment sur ses permissions accordées.
***
Face à l’offensive d’une conception propriétaire des données personnelles, de tells pistes sont sans doute aujourd’hui à réinvestir et à creuser pour matérialiser l’idée d’un « faisceau de droits » sur les données personnelles permettant de les gérer en commun. Bien entendu, il ne s’agit pas de la seule voie pour parvenir à un assainissement de l’écosystème numérique. Le rapport du CNNum contient une série de propositions intéressantes de ce point de vue, concernant par exemple la notion de « facilité essentielle » pour une meilleure application des règles de la concurrence aux grandes plateformes ou l’idée d’instaurer une « obligation générale de loyauté à laquelle les site seraient soumis vis-à-vis de leurs utilisateurs.
Le CNNum s’est prononcé contre l’instauration un droit de propriété sur les données personnelles et il a sans doute eu raison de le faire, mais il faudra rester vigilant pour éviter que cette idée ne se fraye pas un chemin jusque dans la loi sur le numérique que prépare actuellement le gouvernement.
- S.I.Lex - 
Merci Lionel de cette très éclairante mise au point (j’ai compris un truc que je n’avais pas compris jusqu’ici). Reste que pour l’instant, si on voit bien l’importance des licences qu’on pourrait mettre sur nos données, il reste encore deux écueils. Comment faire que les entreprises les prennent en compte (pour l’instant, elles n’en ont cure, imposent leur CGU et font des données des gens leur propriété, elles) ? Dit encore plus rapidement, on discute, on discute… et le résultat pendant ce temps, s’en éloigne toujours un peu plus : https://twitter.com/hubertguillaud/status/479529805931876352
Ensuite quels débuts de pistes pourraient nous permettre d’imaginer « la gouvernance commune de ces ressources communes » (les privacy icons de Mozilla permettent bien d’imaginer les pistes personnelles, mais peut-être pas vraiment les pistes communes, sauf à ce que les formes d’exploitation des données permettent de mettre des labels, comme un feedback de l’exploitation des données personnelles des gens…). Pour l’instant, cette gouvernance commune me semble encore peu concrète ? Des exemples ou pistes d’idées ?
Bonjour Hubert,
Mon billet était déjà très long et j’ai dû abréger la fin, mais tu as raison de soulever ces questions.
A mon sens, la piste envisagée d’une gouvernance en commun des données personnelles ne doit pas être vue comme une solution unique, exclusive d’autres formes d’actions. Il y a en fait à mon sens trois types d’actions envisageables en matière de données personnelles : publiques/politiques, individuelles et communes.
-> Politiques/politiques : cela recouvre les mesures « systémiques » comme l’action pour une amélioration de la législation sur les données personnelles au niveau national et européen (cf. mobilisation autour du règlement européen en cours d’adoption), les mesures fiscales pour limiter les stratégies d’évasion des grandes plateformes ou créer une fiscalité des données personnelles (à la Colin & Collin dont je trouve aussi les propositions intéressantes), l’application plus stricte des règles de concurrence aux plateformes (pistes intéressantes à ce sujet dans le rapport du CNNnum autour du concept de « facilité essentielle »).
-> individuelles : chaque individu peut agir à son échelle pour renforcer la résilience de l’environnement numérique. Cela passe par exemple par l’utilisation de logiciels libres, l’auto-hébergement des données, le chiffrement des communications.
-> communes : c’est à ce niveau qu’il y a quelque chose à inventer qui pourrait venir en complément des deux autres formes d’actions.
Tu as raison de dire que les systèmes de licences imaginés par Thomas Saint-Aubin restent ancrées dans un paradigme individuel. Son apport réside dans le fait qu’il montre que de telles licences n’ont pas besoin d’être ancrées dans la propriété intellectuelle. Mais cela ne garantie pas la mise en place d’une gouvernance commune sur les données.
Pour atteindre ce but, il faut déjà commencer à décaler le regard, comme le suggère Silvère : ce qui compte, ce sont moins les données envisagées du point de vue de chaque individu que le graphe social global que nous créons en nous liant les uns aux autres. C’est à ce niveau à mon sens qu’une gouvernance commune est envisageable. Un peu comme Wikipédia : protégée comme tout inappropriable grâce à la licence libre et gouvernée en commun.
La question à présent est de savoir comment aboutir à un tel résultat. On peut attendre que chaque individu place ses données sous ce type de licences, mais il faut être réaliste. On se heurtera sans doute à des taux d’adoption limités, comme c’est le cas avec les Creative Commons (quelques % des internautes les utilisent, cela suffit à produire des effets intéressants, mais pas à bouleverser le système au niveau global).
On peut aussi imaginer créer un nouveau réseau social dont l’appartenance serait conditionné à l’utilisation de ce type de licences. Mais l’exemple des précédents qui ont tenté de mettre en place des réseaux « privacy by design », comme Diaspora, ne sont pas très concluants, car le coût d’entrée et l’effort pour atteindre une masse critique sont très importants.
Finalement, j’en viens à me demander si pour atteindre rapidement une grande masse critique permettant de placer une partie importante du graphe social en commun il ne faudrait pas qu’un grand acteur de l’écosystème bascule et choisisse d’adopter ce type de licences.
Après tout, Flickr le fait bien pour les Creative Commons, alors que ce service appartient à Yahoo.
Si des Privacy Commons robustes voient le jour, pourquoi ne pas imaginer qu’un Twitter par exemple fasse ce choix ?
En tous cas, dans l’équation de la gestion en commun en ligne, il y a toujours une structure « for benefit » comme dit Michel Bauwens, qui émerge et sur laquelle la communauté va s’appuyer pour la gouvernance (Wikimedia Foundation, Mozilla Foundation, etc). Sans un acteur de ce type, les licences resteront insuffisantes, parce qu’elles restent ancrées sur une logique individuelle.
Les conceptions « proprietaires » des donnees personnelles me font penser que notre societe evolue plus vers une dystopie que – meme lentement – vers une utopie. Une societe ou la « propriete » des donnees privees serait transferable (que ce soit « honnetement » ou pas) peut entrainer de nombreuses derives. Et vu ce que l’on constate avec le droit d’auteur, ces derives seraient certaines, et non de simples hypotheses.
Maintenir les donnees personnelles comme un droit de la personne, personnel – justement – et incessible, me semble le meilleur moyen d’eviter d’en arriver a une situation ingerable, dont une revolte – pas forcement violente, mais necessaire disruptive – serait la seule issue imaginable.
De maniere generale, cette societe me ferait profondement peur. Une societe ou absolument tout serait une « propriete », depuis le moindre atome materiel (deja en bonne voie), juste qu’a notre identite meme, en passant par nos loisirs et nos idees. Comment peut-on encore pretendre que les idees et les opinions sont libres dans un systeme ou les brevets et les « copyrights » portent sur presque tout ce qui peut etre imagine?
J’admets que mon imagination sur ce que peut etre une societe de « proprietaires de donnees privees » s’emballe tres vite, mais nous avons eu des cas reels qui depassent parfois les pires fictions. Je vois donc mon imagination me peindre cet avenir sombre et je n’arrive meme pas a me convaincre que c’est encore ce qui peut arriver de pire.
Oui, vous avez raison de pointer le caractère dystopique d’une propriété plaquée sur les données personnelles. Je trouve particulièrement inquiétants les propos de Jaron Lanier, qui envisage que les données personnelles pourraient valoir plus ou moins cher selon les individus : « Les données concernant M. Tout-le-Monde ont beaucoup de valeur. Cela serait un soutien économique puissant pour la nouvelle classe moyenne. Chaque donnée individuelle aurait une valeur différente. Certaines seraient plus cotées parce qu’elles sortent de l’ordinaire. »
Est-ce que la valeur des données personnelles seraient pondérées par un indice « social », un peu comme le Klout ? Selon que vous seriez influent ou transparent sur les réseaux, vos données rapporteraient plus ou moins ? On imagine l’impact que pourrait avoir ce genre de conception sur les comportements individuels avec la mise en place de stratégies de tapinage attentionnel (attention whores) destinées à faire grimper la valeur de ses données…
On observe déjà ce type de dérives comportementale à travers le Personnal Branding, le Quantify Self ou le phénomène des « Data Sexuels » (des personnes qui cherchent rendre leurs données « sexy » pour les partager en donnant une bonne image d’elles) : http://www.slate.fr/lien/56301/datasexuel
Pour l’instant, ces comportements relèvent d’une forme de « narcissisme numérique » et ils s’inscrivent dans les jeux d’influence et de réputation à l’oeuvre sur Internet. Mais si les données personnelles font l’objet d’une auto-marchandisation avec retour financier vers les individus, on peut imaginer quel impact cette monétisation directe de l’identité pourra avoir sur notre manière de nous comporter en ligne.
Un cauchemar où les « Kim Kardashian de la data » risquent de pulluler, avec comme c’est le cas de tous les star systems, beaucoup d’appelés et très peu d’élus…
Juste une question la-dessus: « Chaque donnée individuelle aurait une valeur différente. »
Est-ce qu’il parle « des donnees de certains individus » qui auraient une valeur particuliere? Ou est-ce que c’est « certains types de donnees » qui auraient plus de valeur?
Cas 1: Meme donnee, individus differents. Par exemple, votre date de naissance et celle de « Kim Kardashian » auraient des valeurs differentes.
Cas 2: Meme individu, donnees differentes. Ainsi, votre date de naissance et votre orientation sexuelle auraient des valeurs differentes.
(Evidemment, ces deux options ne sont pas exclusives l’un de l’autre.)
Le premier cas entraine evidemment la question du « personnal branding » (ou autres derives). Le second entrainerait la surenchere de revelation personnelle: plus c’est personnel, voire intime, plus ca se vendrait cher.
Cumulez les deux, et vous aurez un cocktail explosif.
Je pense que ce que dit Jaron Lanier renvoie à votre cas n°1 : la même donnée personnelle d’individus différents pourraient avoir une valeur différente. Cela nous laisse entrevoir des perspectives particulièrement inquiétante où les données personnelles pourraient servir à « noter » les individus entre eux, et l’on atteindrait ainsi une sorte de « marchandisation » directe des personnalités. Cette tendance est déjà à l’oeuvre et je vous renvoie à cet excellent article sur Slate : « Pourquoi on notera bientôt vos comportements de d’usager, de client, de consommateur et d’être humain » http://www.slate.fr/story/88115/noter-comportements-usager-client-consommateur
Cela dit, il paraît aussi évident que chez un même individu, certaines données auraient plus de valeur que d’autres, avec les risques de dérives que vous pointez.
ex: Lambda cherche le nom d’un pdt entre 93 & 98 sur goog , sur qq h ce nom apparaît des mions de fois dans des transactions ; Alphas lui après avoir vu l’adaptation de Sand dans le coffret Epstein se rappelle de ce dialogue entre ce fourieriste et George autour de la responsabilité dans le crime , mais comment s’appelle t il , il goog un peu sans effets , le soir lit le Guardian ; damned ! en bas de la page s’affiche la couverture originale du recueil factice objet de sa recherche !
et alors ?
et les produits dérivés ?
et ma ristourne ?
ça peut aller jusqu’au vol d’organe !
jusqu’à chercher à prendre un os à qq !
La théorie du « bundle of rights » est séduisante en ce qu’elle constitue un démembrement du droit de propriété. Pour autant, elle ne constitue pas une émancipation réelle du droit de propriété, elle en est plutôt une variation. Elle a été conçue comme telle.
Je reprends ici les remarques de Dardot et Laval dans « Commun » (pp. 475-476) : dans les « bouquets de droits », on trouve le « droit au capital » ou pouvoir d’aliéner la chose, de la consommer, gâcher ou détruire. Ce qui renvoie en fait à la notion de propriétaire « à titre principal » (ce « à titre principal » est juste un euphémisme)
Je ne dis pas qu’il faut rejeter absolument l’expression, mais il paraît nécessaire de préciser ce qu’on veut lui faire signifier.
Oui, on peut créer un « faisceau de droits » (bundle of rights) à partir d’un droit de propriété, que ce soit sur un bien physique comme un lieu ou sur une oeuvre immatérielle, comme le prouve d’ailleurs le logiciel libre ou Wikipédia.
Les solutions de type « faisceau de droits » servent en fait à éviter la concentration de tous les pouvoirs aux mains d’un seul propriétaire. C’est une sorte de théorie de la séparation des pouvoirs appliquée à la gestion des ressources et cela a pour but de susciter des gouvernance en commun, parce que les droits n’étant pas concentrés, il faut trouver des espaces de discussion et de négociation pour que les différents acteurs impliqués puissent s’accorder sur les usages.
Mais ici, il est très important de noter que la solution proposée à la fin repose sur un système de licences qui ne seraient pas ancrées dans la propriété intellectuelle. C’est l’immense mérite du travail de Thomas Saint-Aubin avec « Design your privacy » d’avoir montré que l’on pouvait appliquer cette logique de licences, tout en restant sur le terrain de la loi du 6 juin 1978 (Informatique et libertés). Il en est ainsi parce que cette loi prévoit au bénéfice des personnes un droit d’opposition à certains usages et dans certaines hypothèses délimitées, un consentement préalable. Les licences envisagées constituent une manière d’exercer ces prérogatives, mais sans passer par la propriété intellectuelle.
Thomas Saint-Aubin avait d’ailleurs déjà réalisé ce tour de force en matière d’Open Data. Il est à l’origine de la toute première licence française en la matière : la licence IP (Informations Publiques) du Ministère de la Justice, dont l’intérêt était d’être ancrée dans la loi du 17 juillet 1978 sur la réutilisation des informations publiques, mais pas dans le droit des bases de données : http://www.village-justice.com/articles/diffuser-donnees-publiques,7658.html
Maintenant, la perspective envisagée par le projet « Design Your Privacy » reste ancrée sur un paradigme individualiste. Elle garantit pas à elle seule le passage à une gouvernance en commun.
Pour cela, il faut décaler le regard comme le fait Silvère : ce qui importe, ce sont moins les données personnelles prises individuellement que le graphe social que nous construisons ensemble pour nous relier les uns aux autres. C’est sur ce graphe social qu’une gouvernance en commun est envisageable. On peut raisonner par analogie avec Wikipédia comprise comme un tout, dont la propriété n’appartient à personne, même pas à la fondation Wikimedia. Mais il y a bien une gouvernance collective de Wikipédia : https://scinfolex.com/2012/05/02/et-si-twitter-avait-la-meme-nature-juridique-que-wikipedia-eclats-de-s-i-lex/
L’expression « Bundle of Rights » a plus de sens à mons avis si on l’applique au niveau du graphe, plutôt qu’au niveau des données individuelles.
tout ce que je crée est ma propriété exclusive : vous autres les utopistes collabos des mercantis du web êtes les idiots utiles de la machine à décerveler.
C’est tellement vrai qu’en laissant ce commentaire sur mon blog, vous l’avez placé sous licence CC0, ce qui veut dire qu’il est dans le domaine public et appartient à tout le monde… C’est écrit ici en noir sur blanc : https://scinfolex.com/conditions-de-reutilisation/, ainsi que dans la colonne de droite du blog.
J’espère que vous prenez plus gare à vos affaires que ça ailleurs dans l’environnement numérique, car il peut être dangereux de se croire porteur d’un illusoire bouclier propriétaire.
Merci pour cette splendide preuve par l’exemple que vous venez involontairement de nous apporter.
Cela dit, la mention serait plus à sa place autour du formulaire de commentaire que dans la colonne de droite, je trouve :-/
Parce que là on peut très facilement passer à côté, ça me parait trop similaire à un truc planqué au milieu de 100 pages de CGU.
Je pensais que ce formulaire n’était pas paramétrable sur mon WordPress, mais je viens de regarder et on peut modifier le texte. Je viens de modifier le formulaire pour indiquer cette précision.
Ceci étant dit, il y a quand même une différence entre 100 pages de CGU à lire et une colonne à regarder sans même avoir à cliquer sur un lien…
Certes le commentaire critiqué est … critiquable. Débile, soit.
Mais le mode de conclusion des licences CC, pas spécialement sur ce site d’ailleurs, me rappelle cette fois où je n’avais pas bien lu les CGV – lilliputiennes par la taille et fluviales par la longueur – que me proposait mon assureur. Je n’y ai laissé que quelques dizaines d’euros sur 12 mois ; heureusement, pas mes droits d’auteur, ni ma (e-)réputation. Mon (ex)assureur a eu la délicatesse de ne pas me dire « vlan feinte juridique dans ta face ». Je l’en remercie.
Bref, même sans CGV de 100 pages, il y a encore des progrès à faire sur ce plan ; sur le fait de savoir à quoi l’on engage vraiment lorsque l’on se place sous CC, a fortiori 0 (qui reste un mécanisme subtil et complexe et qui, malgré les logos et les sigles, suppose de sérieuses connaissances juridiques).
Merci Lionel pour cet éclairage indispensable. Il permet de comprendre beaucoup de choses. J’abonde dans le sens d’Hubert Guillaud sur la question de la gouvernance commune qui ne me semble pas très concrète. J’aurai plusieurs questions pour tenter de mieux comprendre :
Il y a deux points dans le raisonnement que j’aimerai voir éclairés :
J’ai un peu de mal à comprendre comment un graphe social pourrait être placé sous une licence. Est-ce que un graphe est autre chose que le résultat d’un calcul ? Si c’est le résultat d’une opération, est-ce que cela entre dans le champ « du gouvernable » ? dans ce cas, est-ce que la question ne serait pas plutôt celle de l’algorithme qui devrait faire l’objet, pas tant d’une ouverture au sens de publication (qui fait référence à la gestion), que d’une attention commune ? dans ce cas, je me demande si cela pourrait renvoyer à une problématique de négociation (permanente) de l’intérêt général plutôt qu’à celle d’une gestion des intérêts commerciaux des uns ou des autres. Est-ce de cette manière qu’il faudrait déplacer la question comme le suggère Silvère ?
Mon deuxième point concerne la référence à « bundle of rights ». Je trouve surprenant l’usage qui est fait de la référence à la notion de bundle of rights dans les différents raisonnements au long de cette discussion (je n’ai lu que les textes de Valérie, Silvère et toi sur ce sujet). Comme Hubert, je trouve que ce n’est pas concret. Si j’ai bien compris, la théorie des bundle of rights décrit une conception de la propriété dans le champ économique. C’est une figure qui comprend la propriété comme un ensemble de prérogatives qui permet la répartition entre des bénéficiaires des utilités d’un bien donné. La figure du bundle of right n’est pas spécifique des communs. Ce que montrent assez bien les juristes (encore une fois, si j’ai bien compris), c’est que l’idée que la propriété est exclusive est assez largement fausse et que si nous en sommes « naturellement » convaincu, c’est surtout le résultat d’un travail idéologique, qui prend racine comme tu le dis au 17ieme siècle puis se repend par la colonisation (je pense notamment aux textes de J; de Saint Victor, judith Rockfeld et Béatrice Parance sur le sujet, et aussi les travaux d’anthropolgie de Le Roy).
Je comprends (et j’adhère à l’idée) qu’il faut faire un travail idéologique pour dépasser le paradigme individualiste et convaincre qu’il y a d’autres rapports possibles aux données qui résultent de nos comportements, que leur possession souveraine individuelle ou par une firme. Mais, la référence à bundle of rights renvoie à l’idée qu’il suffirait d’établir un droit (ou un contrat, licence, …etc) bien solide pour régler le problème. Tu soulignes très bien les limites de ce procédé avec l’exemple de CC et wikipédia. Ne faut-il pas alors aussi tenter de s’interroger sur le plan idéologique ? Dans la phrase « …adapter les règles de droit pour servir au mieux les usages en protégeant les ressources mises en partage. » (de SIlvère), les ressources à protéger sont rien de moins que notre humanité. Est-ce que ce ne serait pas plus en éclairant ce que nous pouvons faire collectivement, retirer comme bienfaits de ce domaine commun qu’il sera possible d’emporter la conviction des gens ? Cela tend à me ramener à ma première question sur la manière de qualifier les graphes en fonction de leur portée d’intérêt général.
Je trouve très intéressante la perspective historique que tu fais avec la référence aux travaux de Thompson sur la Guerre des forêts. Il me semble qu’il serait fécond de la pousser plus loin. Au fond, l’une des choses qu’il montre bien, c’est que l’enclosure du 17ième est le résultat d’un rapport de force entre deux économies : celle du cerf contre celle des paysans, et que la capacité à mobiliser les espaces de production du droit (à la fois la création des règles et les juridictions) est déterminante. Il s’écarte d’une vision qui résumerait cela à un rapport de classe caricatural. Mais il insiste beaucoup sur l’idée que l’existence de l’état de droit est un cadre indispensable pour contenir une négociation permanente des rapports de force. Contenir à la fois dans le sens d’empêcher certains débordements et d’être le creuset.
Cela m’amène donc les questions suivantes (à reformuler sûrement, et dont je ne sais pas si elles ont vraiment leur place dans ce débat – si ce n’est pas le cas, on oublie :-) :
Est-ce qu’il serait envisageable et pertinent de travailler à développer une vision de la société qui permette d’avoir une économie de la donnée « pour le bien commun » (en l’occurrence la préservation de l’espèce humaine dans le monde numérique – désolé si ça fait un peu grandiloquent) qui revisiterait le sens de l’intérêt général à travers la mise en perspective économique de la donnée en fonction du « care » et la distinction entre les données/graphes/algorithmes qui contribuent à l’intérêt général et ceux qui servent les intérêts particuliers ?
Sur l’état de droit comme cadre, est-ce que le développement des licences ne devraient pas être accompagné de structures ou d’espaces juridiques qui permettent de faire valoir des droits sans quoi, ces droits ont forcément vocation à être marginalisés ? je pense par exemple aux chambres des communs comme les appelle M. Bauwens ?
(et j’accepte volontiers la CCO ! )
Bonjour Frédéric et merci pour ces questions,
Concernant le graphe social, Wikipedia donne cette définition : « The social graph in the Internet context is a graph that depicts personal relations of internet users. In short, it is a social network, where the word graph has been taken from graph theory to emphasize that rigorous mathematical analysis will be applied as opposed to the relational representation in a social network. The social graph has been referred to as « the global mapping of everybody and how they’re related » : http://en.wikipedia.org/wiki/Social_graph Quelque part, comme en matière de logiciel libre, il faudrait aboutir à une licence virale qui, à partir des données, se communique aux différents graphes que l’on peut produire en leur appliquant différents algorithmes. J’avoue que la question est complexe et qu’elle mérite d’être creusée.
Concernant la question du « bundle of rights », Valérie Peugeot montre dans son article que cette conception permet d’envisager plus formes de droits d’usage sur les données personnelles, sans passer par la notion de propriété. Elle explique que l’idée est d’arriver à une répartition de droits équitable entre les individus et les plateformes et c’est en ce sens qu’il y aurait « faisceau de droits » :
Ce passage me semble assez clair et je ne vois pas tellement où est le problème avec le « bundle of rights ». Après, je suis entièrement d’accord avec toi sur le fait qu’instaurer des licences ne suffit pas à mettre en place une gouvernance en commun. On le voit avec bien des logiciels, qui sont placés sous des licences libres, mais dont la gouvernance n’est pas ou peu partagée.
Concernant l’ouvrage de Thompson sur la « Guerre des forêts », j’avais été frappé aussi par l’importance qu’il accorde au droit dans l’histoire qu’il décrit, et plus particulièrement au rôle des cours de justice. Pour simplifier, il montre que les habitants des forêts ont longtemps pu faire valoir devant les tribunaux les droits d’usage coutumiers dont ils bénéficiaient en tant que membres de communautés sur des ressources partagées. Cette reconnaissance par les tribunaux était un élément essentiel de résistance. Mais finalement, la loi a été modifiée, notamment avec le fameux « Bloody Code » et cela a précipité une modification de l’attitude des juges qui a conduit à l’effacement des droits d’usage.
Concernant les données personnelles, l’action en justice peut jouer également un rôle essentiel. Mais il me semble que pour qu’elle soit reliable avec la question de la gouvernance en commun, il faut que ces actions en justice ne soient pas individuelles, mais collectives. Or de tels types d’actions peuvent exister : il s’agit de ce qu’on appelle aux Etats-Unis les « actions de groupes » ou « class actions ». Or l’action de groupe vient d’être introduite dans la loi française dans la loi sur la consommation http://www.lemonde.fr/economie/article/2013/07/03/l-assemblee-vote-le-projet-de-loi-consommation-autorisant-l-action-de-groupe_3441366_3234.html et j’ai lu également que le gouvernement envisageait de l’introduire en matière de santé.
Dans le domaine des données personnelles, ce type d’actions pourraient jouer un rôle, à la fois pour la défense des droits des individus vis-à-vis des plateformes, mais aussi sur un plan symbolique, pour faire émerger la conscience de cette « gouvernance en commun ».
J’ai lu un peu vite votre article.
Le problème avec la notion de propriété privée, c’est qu’elle signifie « commerce » dans le monde la concurrence libre et non faussée.
Le débat qui devrait être proposé à mon sens, serait de définir l’espace « hors commerce ».
Dans le droit actuel, le nom et le prénom sont hors commerce par exemple. (Quoique pouvant donner lieu à une marque éponyme ou identique, relevant elle du commerce.) Mais je ne peux pas vendre mes nom et prénom, personne ne pouvant l’acheter.
Personnellement, je trouverais normal que l’itinéraire de mes consultations d’Internet, l’historique de mes achats – en ligne ou pas en ligne -, …, soient hors commerce.
Bonjour
Super article.
Le problème des intermédiaires de « gestion » de la privacy est intéressant. Je pense que ces intermédiaires sont nécessaires, du moins j’ « explore » cette théorie :)
En effet, je n’ai pas bien compris qui fait respecter le bon usage du « faisceau de droit ». Comment contrôler les entreprises (notamment les data brokers) ?
Je pense qu’un intermédiaire pourrait être mandaté à titre gratuit pour gérer les données personnelles de ses mandants. Cela rejoint l’idée du faisceau de droits.
A la différence de ce qui se fait actuellement, on peut imaginer un intermédiaire qui :
– est mandaté pour faire respecter les privacy rules données par les mandants
* l’intermédiaire peut dire aux acteurs du marché : si vous ne jouez pas le jeu, on ne vous file plus les données de nos mandants et elles sont introuvables ailleurs car les autres acteurs du marché, qui eux jouent le jeu, sont contractuellement obligés de ne pas vous filer des données
*menacer les acteurs récalcitrants de figurer sur des blacklist (ghostery like)
*l’intermédiaire peut menacer les acteurs du marché récalcitrants de réunir ses mandants pour une éventuelle class action
*l’intermédiaire peut exercer pour le compte des mandants leurs droits de façon massive : droit d’accès notamment, ou saisie de la CNIL (bonjour, on a 200 000 utilisateurs qui ont ce problème…)
*proposer aux mandants d’affiner leurs privacy rules site par site (ghostery/privacy badger like)
– convaincre les acteurs du marché de passer par cet intermédiaire en leur proposant une valeur ajoutée :
*parfaire la sécurité juridique des traitements car l’acteur peut utiliser au max les données perso étant donné qu’il sait toujours jusqu’où il peut aller ==> favorise aussi l’innovation
*créer un marché *sain* des data brokers
*assurer un meilleur retour sur investissement avec moins de données mais mieux de données (pas besoin d’acheter 3 database et de les faire se croiser tous les mois pour savoir si les données sont encore à jour..)
*bénéficier de facilités avec la CNIL
Qu’en pensez-vous Calimaq ?
C’est un projet de régulation très libéral, certes. Mais je pense que si les acteurs du marché, les utilisateurs, et les Etats ne trouvent pas une solution win-win, on restera bloqué dans une situation ou tout le monde est perdant.. sauf les data brokers (coucou Acxiom).
Cet intermédiaire dont je parle peut être privé, et soutenu par l’Etat, ce qui lui donnerait une légitimité. Je vois plusieurs grands problèmes à cette solution :
1. comment cet intermédiaire contrôlerait l’usage des données ? L’idée de DRM sur les données parait compliquée. La publication éphémère et la dégradation progressive des données mériteraient d’être creusées, voir ici un mémoire publié en 2013 a propos du droit à l’oubli : http://dumas.ccsd.cnrs.fr/dumas-00854973
2. comment motiver le bel-oncle de Mme Michu à se soucier du problème de ses données personnelles ?
Le fait de paramétrer ses privacy rules devrait être rémunéré. On pourrait imaginer que l’intermédiaire (et non les acteurs du marché) rémunère directement ses mandants, mensuellement.
3. La sécurité informatique. Cet intermédiaire risque d’etre une cible tellement grosse qu’il ne tiendrait pas 2 jours. Décentraliser ? A creuser.
Enfin…dans tout ce fouillis d’acteurs et d’individus, même si un intermédiaire est opérationnel, ne perdra pas t il tout son temps à rechercher la bon acteur du marché pour faier valoir les droits dont il est le mandataire ?
Pour cela, on pourrait, et certain l’ont déjà fait (coucou Mr. Sonntag), que les acteurs du marché doivent s’assurer par d’autres, lesquels devraient pouvoir se réassurer ? En cas de problème, des systèmes indemnitaires seraient alors plus simples à mettre en place.
Bonne journée !
Vive internet. Vive les chats.
Jack Jack
Petite erreur : « conception propriétaire des données personnelles, de tells pistes » (tellEs)
Lovvely blog you have here