Parmi les plus de 500 amendements déposés par des députés à propos de la loi numérique, il en est un qui n’a guère retenu l’attention, mais qui présentait pourtant un intérêt certain, au moins pour l’originalité de son approche de la notion de données personnelles. Il s’agit d’un amendement porté par les députés PS Delphine Batho et Laurent Grandguillaume, finalement rejeté, qui était formulé ainsi :
ARTICLE 26
L’alinéa 2 est complété par la phrase suivante :
« Les données à caractère personnel, lorsqu’elles forment un réseau indivisible de données liées qui concernent plusieurs personnes physiques, constituent un bien commun qui n’appartient à personne et dont l’usage est commun à tous, dont la protection et l’utilisation sont régies par la présente loi. »
EXPOSÉ SOMMAIRE
La loi informatique et libertés de 1978, dans sa rédaction actuelle, ne considère que les données personnelles solitaires, qui renseignent directement ou indirectement sur une personne.
Dans les faits, les données sont aujourd’hui totalement interconnectées, formant un réseau de données indivisible. Il convient d’adapter le cadre juridique à cette réalité en s’inspirant de l’article 714 du code civil afin d’assurer une protection collective des données en les considérant comme un bien commun.
Certes, cette manière d’appréhender les données personnelles à travers la notion de biens communs a de quoi surprendre au premier abord. Guillaume Champeau, rédacteur de Numérama, a d’ailleurs réagi ainsi sur Twitter en découvrant cet amendement :
Considérer les données personnelles comme des "biens communs". Ils ont fumé quoi ? assemblee-nationale.fr/14/amendements… #PJLNumerique
—
Guillaume Champeau (@gchampeau) January 12, 2016Les données personnelles renvoient naturellement à la sphère de la vie privée, voire de l’intime des individus. Comment pourraient-elles être considérées comme des biens communs, « n’appartenant à personne » (passe encore), mais surtout « dont l’usage est commun à tous » ? Cela semble complètement contre-intuitif et à rebours de la manière dont le droit protège les données personnelles habituellement.
En réalité, cette contradiction n’est qu’apparente, car le but de cet amendement n’était pas de faire des données personnelles un bien commun en tant que telles, mais d’attribuer cette qualification au « réseau de données indivisible » qui se forment lorsque des données personnelles sont interconnectées entre elles. On peut penser par exemple pour visualiser ce réseau de données liées au graphe social que des plateformes sociales comme Facebook matérialisent et exploitent. Marc Zuckerberg en personne le définissait en 2007 comme : « le réseau de connexions et de relations entre les gens sur Facebook, qui permet la diffusion et le filtrage efficaces de l’information ».
J’ai déjà consacré, il y a deux ans, plusieurs billets à cette idée qu’un pont devrait être établi entre les données personnelles et la notion de biens communs, pour contrecarrer certaines thèses qui voulaient établir à l’époque un droit de propriété privée sur les données personnelles. Je n’étais pas le seul à l’époque à avoir cette intuition de ce rapport possible entre Communs et données personnelles. Silvère Mercier avait par exemple écrit ceci dans un billet sur son blog :
Ni privé, ni public comment penser des données personnelles en biens communs? Car c’est une piste peu étudiée : celle de faire de ces fameuses données personnelles des biens communs, quelque chose qui appartient à tous et à personne. Ne pas les sanctuariser par la loi, ni les commercialiser sans vergogne mais bien de repenser autour de leurs usages un faisceau de droits. Il ne s’agit pas de refuser de leur appliquer un régime de propriété mais d’en repenser la nature. Et s’il fallait inventer des creative commons des données personnelles, des privacy commons? Reste à définir une gouvernance partagée de cette ressource commune. La question est effroyablement complexe et je ne prétends bien sûr pas la résoudre ici…
On perçoit ici très bien la proximité avec l’amendement déposé cette semaine. Et Silvère insistait lui aussi sur l’importance du graphe, en tant que « réseau de données liées » :
Quelques éléments me semblent importants à prendre en compte pour tenter de clarifier ce sur quoi pourrait porter un faisceau de droits. Il nous faut comprendre la différence essentielle entre les données d’un individu et le graphe qui est exploité. Facebook et Google n’ont que faire des données prises séparément […]. Non ce qui est décisif, c’est le graphe, le croisement de ces données, les relations entre elles via des algorithmes et des vocabulaires de types de relations (ontologies).
Pour essayer de penser les données personnelles comme un commun, nous avions alors essayé d’envisager une analogie avec ce que les licences libres permettent en matière de propriété intellectuelle, en imaginant que les individus pourraient accepter de mettre en partage leurs données personnelles en fixant des conditions. Mais cette piste, même si elle paraît intéressante de prime abord, ne mène en vérité nulle part. Elle a en effet le même défaut que l’approche personnaliste qui gouverne aujourd’hui l’appréhension des données personnelles en droit français. Elle s’enracine en effet dans un paradigme individualiste qui masque la dimension collective essentielle résultant de la nécessaire interconnection des données personnelles entre elles.
Pour envisager pleinement cette dimension collective, il faut opérer un véritable renversement copernicien pour appréhender directement le réseau des données liées et l’ériger en tant que tel en un nouvel objet de droit, ce qui n’existe pas à ce jour dans la loi française (ni dans aucun autre droit à ma connaissance).
Le premier à avoir opéré ce renversement de perspective est Pierre Bellanger, fondateur de Skyrock et auteur en 2014 d’un ouvrage intitulé « La souveraineté numérique« . Après avoir été le champion de la thèse de la propriété privée sur les données personnelles, Pierre Bellanger a changé d’approche pour sortir justement du paradigme individualiste et appréhender la dimension collective des données personnelles. Et c’est de cette manière qu’il est arrivé à la notion de biens communs, dans le texte « Principes et pratiques des données personnelles en réseau » daté de septembre 2014 qui constituait sa contribution à l’étude du Conseil d’Etat sur les technologies numériques et les droits fondamentaux.
Ce texte introduit la notion de réseau de données, à partir d’une critique de l’approche personnaliste de la loi de 1978 :
Ainsi, les données personnelles ne sont plus granulaires mais réticulaires, c’est-à-dire organisées en réseau. Les données personnelles ne sont plus séparées mais liées. Cette intrication forme le réseau des données personnelles qui se substitue, en fait, aux données personnelles isolées du passé.
Les données ne pourraient même plus être dites « personnelles » dans la mesure où les informations relatives à un individu renseignent aussi sur d’autres personnes. Une fois admis ce constat, la question est de donner une qualification juridique à ce réseau de données liées et c’est vers la notion de biens communs qu’on peut se tourner pour les faire bénéficier d’un régime qui évitera leur captation abusive :
Quelle est la nature juridique du Réseau de Données ? Il s’agit d’un objet sur lequel toutes les personnes, dont les données sont maillées, disposent de droits mais qui ne peut être matériellement divisé entre eux. Il est ni dissociable, ni individualisable par nature car chaque donnée personnelle renseigne sur les autres. C’est donc une forme d’indivision qui concerne toute la population.
Par ailleurs, les informations provenant du Réseau de Données sont d’un intérêt général majeur pour la collectivité, notamment, en matière de santé, de transports, de consommation, d’environnement ou encore de compétitivité économique.
Par son origine multi-personnelle, son impossibilité à le séparer, et son utilité collective, le Réseau de Données est donc un bien commun – res communis – : un bien qui appartient à tous mais ne peut appartenir à personne en particulier. Son statut est défini en droit français par l’article 714 du Code civil.
C’est aussi un bien où chacun dispose de droits spécifiques (retrait, opposition, oubli) sur son propre apport et ce, dès lors qu’il n’engage pas les droits d’autrui.
Le Réseau de Données répond donc de droits collectifs et de droits individuels.
Cette intrication de droits collectifs et de droits individuels correspond exactement au « faisceau de droits » – élément central de la théorie des Communs – dont parlait Silvère dans son billet.
Personnellement, je trouve assez remarquable la manière dont cette approche crée un nouvel objet de droit, d’emblée collectif, là où nous étions tous été restés prisonniers du paradigme individualiste en essayant de construire le Commun à partir de l’individuel. Ce réseau de données correspond au graphe social dont je parlais au début de ce billet. Et il est intéressant de relire cette déclaration citée par InternetActu que Marc Zuckerberg faisait à ce sujet en 2007 :
C’est l’ensemble des relations de toutes les personnes dans le monde. Le graphe social : il y en a un seul et il comprend tout le monde. Personne ne le possède. Ce que nous essayons de faire c’est de le modeler, le modéliser, de représenter exactement le monde réel en en dressant la carte.
Le graphe social est en effet mondial. Il embrasse l’ensemble de l’humanité (passée, présente et à venir). Il est le produit des relations que les hommes entretiennent entre eux en tant qu’êtres sociaux. C’est en quelque sorte le reflet informationnel de la nature sociale de l’homme (voir notamment la fameuse théorie des six degrés de séparation). Et même quelqu’un comme Marc Zuckerberg reconnaît que « personne ne le possède« , bien que tout le monde – à commencer par lui – essaie de le capturer et de se l’accaparer.
L’amendement déposé par Delphine Batho et Laurent Grandguillaume était donc bien plus profond qu’il n’y paraît de prime abord. Et je mettrai ma main à couper qu’il leur a été inspiré par Pierre Bellanger, dont on retrouve la « patte » dans l’exposé des motifs.
La question maintenant est de savoir si l’on doit soutenir une telle approche.
Personnellement, j’adhère complètement avec cette notion de « réseau de données personnelles », ainsi qu’avec l’ambition d’en faire un nouvel objet de droit en passant par la qualification de biens communs. L’amendement se réfère pour cela à l’article 714 du Code civil qui traite des « choses communes » (celles qui « n’appartiennent à personne, mais dont l’usage est commun à tous« ). Il y a ainsi une parenté très forte entre cet amendement et l’article visant à consacrer un « domaine commun informationnel« pour lequel nous nous sommes battus au cours du débat sur la loi numérique.
Mais une fois que l’on a créé un nouvel objet de droit, il faut ensuite déterminer quel régime on souhaite lui voir appliquer, notamment pour organiser une gouvernance. Or dans le texte que j’ai cité plus haut, Pierre Bellanger insiste très fortement sur les pouvoirs que les instances étatiques devraient avoir sur la gestion du réseau de données :
La gestion et l’exercice de ces droits doit revenir à un organisme public, garant du contrôle démocratique et souverain et seul à même d’en permettre l’accès et l’usage.
Une telle institution, structurante et référente, créé les procédures, les instances ainsi que les concertations nécessaires. Elle devra donc, tout à la fois, gérer le bien commun et les droits individuels afférents. Sa capacité à ester en justice sera, de ce point de vue, essentielle.
Une agence des données pourrait ainsi être établie.
Cette « Agence des données » serait notamment dotée de larges pouvoirs, comme celui de délivrer des agréments aux opérateurs souhaitant effectuer des traitements du réseaux de données.
La qualification de biens communs ne sert en définitive qu’à organiser un transfert de la gouvernance au profit de l’Etat, ce qui paraît en définitive assez éloigné de ce que sont réellement les Communs. Si le Réseau de Données est un Commun, alors c’est avant tout sa gouvernance qui doit être commune, et non étatique. Dans un autre amendement partageant cette même inspiration, on voit d’ailleurs apparaître la notion encore plus ambiguë de « biens communs souverains » employée à propos des données personnelles :
ARTICLE ADDITIONNEL
APRÈS L’ARTICLE 12, insérer l’article suivant:
Dans les six mois suivant la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport sur le statut juridique de « biens communs souverains » qui pourrait être appliqué à l’essentiel des données personnelles.
Quelque chose me fait penser qu’en partant de telles bases, les données deviendraient rapidement davantage « souveraines » que « communes ». Par ailleurs, le graphe social dans sa nature même est mondial. Il ne peut s’agir que d’un bien commun global, comme peuvent l’être le climat et ou l’atmosphère et je vois mal comment on pourrait mettre cette qualification au service de la souveraineté nationale. L’Etat peut et doit être le « garant des communs » (notamment à travers sa justice), mais il n’est pas censé assurer directement la gestion des Communs.
J’étais déjà assez sceptique à propos de ces conclusions en 2014, mais je le suis plus encore à présent, depuis le cortège de lois sécuritaires et attentatoires à la vie privée qui nous a été infligé par le gouvernement au nom de la lutte contre le terrorisme. Confier à ce nouvel Etat sécuritaire et de plus en plus panoptique la gouvernance sur le réseau des données personnelles paraît franchement dangereux pour la sauvegarde des libertés.
***
Au final, il y a dans cette idée de constituer le réseau des données personnelles en bien commun à la fois une intuition géniale et un péril certain.
L’amendement n’a cependant pas été approuvé par la Commission des lois et il n’y a quasiment aucune chance qu’il passe lors de l’examen en séance. Le futur règlement européen sur les données personnelles n’envisage pas non plus une telle approche.
Mais il serait à mon sens extrêmement dommage d’enterrer cette notion de « réseau de données liées » et ceux qui s’intéressent aux Communs devraient s’en emparer pour explorer ses potentialités.
- S.I.Lex - 
A double tranchant. Bien et Mal. Mais je pense que cela peut davantage devenir un outil totalitaire mortel dans quelques décennies.
Dans quelques décennies ?
Il suffit d’être relié, maintenant, aux « terroristes » des attentats de Paris pour être sur la liste des suspects potentiels. Un resto avec eux et on est deux fois plus suspect.
Les graphes sont déjà dangereux !
Les téléphones portables établissent des graphes, les liens Internet aussi et, des traces, on en laisse partout. Sur chaque serveur qui me permet d’accéder à ce blog, j’ai laissé une marque, et un graphe.
Ce n’est pas dans dix ans que les commerciaux/grande surfaces/banques nous profilent. Mais depuis plusieurs décennies.
Comme tous les autres services qui nous pistent… déjà.
L’ennui du graphe et son danger, c’est qu’un graphe présente plusieurs portes d’entrées. Si je ne suis pas d’accord pour fournir des renseignements mais que mon conjoint ou mes enfants restent ouverts au graphe, alors tout le monde peut accéder à ma partie du graphe. C’est encore mieux avec les amis, puisque vous ne pouvez même pas contrôler ce qu’ils disent ou publient sur leurs propres sites ou réseau social.
Et je n’aime pas du tout la tournure de l’alinéa 2, tel que présenté.
Si, pour X raisons, nous formons une confrérie privée (données personnelles), ce n’est pas pour que ces données appartiennent à tous. Il y a suffisamment de données publiques pour s’amuser à former des graphes sans avoir besoin d’inclure des données à caractère personnel.
La dérive est trop évidente : je suis indivisiblement lié à tout un réseau de personnes physiques, rien que dans ma vie courante ou un commentant sur ce blog.
Et je ne peux pas dissocier ma vie privée de ces liens, c’est là aussi indivisible.
On en déduit vite que « mes données personnelles sur ma vie » sont alors le bien de tout le monde.
C’est d’ailleurs ce qui est dit ici : Dans les faits, les données sont aujourd’hui totalement interconnectées, formant un réseau de données indivisible.
Je regrette, mais je ne connais pas du tout la marque de vos préservatifs préférés, ni vos préférences sexuelles. Donc, on repassera pour le mensonger totalement interconnectés. Nous ne sommes pas totalement interconnectés, et nous sommes loin de l’être. Nous partageons certaines connexions… choisies.
Choisies. Ce qui fait toute la différence.
B. Majour
Du coup, quel est l’objet juridique qui serait placé dans le commun ? Sommes d’accord qu’il ne s’agirait pas des données, mais du graphe des données en réseau? Est-ce à dire une base de données des interconnexions ? Si je trouve le changement de paradigme très intéressant, comment sont caractérisées/par quels droits sont couvertes les données personnelles dans ce modèle ? Et comment caractériser les liens entre les données sans caractériser ces données ? Pour préciser ma question : si mon réseau en lui même permet de me caractériser, comme homme athée homosexuel résident le XIIe à Paris et ayant telles et telles habitudes de vie et de consommation, la somme des interconnexions n’est-elle pas déjà en elle-même une donnée personnelle – inversement, si le réseau ne permet de relier que des données anonymiseées – si tant est que ce soit possible – celui-ci a-t-il encore un sens ?
Comment envisages-tu le développement de ce modèle (pas la mise en œuvre, mais la cohérence)?
Tu soulèves là effectivement une question essentielle. Qu’est-ce que l’on fait entrer exactement dans ce réseau de données liées ? A quel niveau commence la « couche » qui accèderait au statut de bien commun ? Bellanger dans son texte développe une analyse assez fine en trois niveaux : http://pierrebellanger.skyrock.com/3231110655-Principes-et-pratiques-des-donnees-personnelles-en-reseau.html
J’avoue que je n’ai pas à ce stade la réponse à ta question. L’imprécision risque d’être une des grandes faiblesses de cette approche.